UTG-Q-003：微软应用商店7ZIP供应链投毒事件始末

       我们第一时间将该情况上报给了微软，目前该恶意软件已经从微软应用商店下架, 上报时间线如下：

通过溯源发现该安装包最早出现于2023年一月份，几乎免杀了一整年。我们内部将该团伙命名为UTG-Q-003，并将该事件细节和IOC公开给开源社区，供友商分析排查。

              JPHP是使用java的虚拟机执行PHP代码的一款开源项目，将php的源代码编译成java字节码，并在JVM里面运行，故免杀效果非常好，攻击者使用JPHP的库函数jurl从远程服务器下载后续payload。

       攻击者为了保持长时间的免杀在其C2服务器上频繁更新payload，我们一天能请求到2-3个MD5不同的soft.exe，主要目的是窃取受害机器上的txt、doc、rdp、key、wallet、seed、lnk等类型的文件，所涉及的家族为redline malware、Lumma Stealer、Amadey。

基于VT数据我们观察到7z-soft.exe除了微软应用商店投递外还有别的下载方式

上述URL目前已经无法访问，但是基于历史的数据我们发现在请求域名（deputadojoaodaniel.com.br）后跳转到cdn.discordapp.com托管的链接上

查看两个域名历史的html页面发现均为wordpress网站，这就意味着UTG-Q-003极有可能入侵了wordpress的网站并将其作为跳板，用于存放payload和实现网页重定向。这种攻击手法对于俄语系的团伙非常常见。

       在十月份时我们检测到在访问analiticaderetail.com时直接跳转到了browserneedupdate.com页面，经过我们的分析，这是攻击者另一套攻击链，基于chrome浏览器消息推送机制的社工攻击链，攻击流程如下：

攻击者制作了一个较为逼真的cloudflare DDOS防护页面，并提示你该域名正在处于DDOS攻击中，接着弹出一个仿冒人机验证的框诱导受害者进行点击，

点击后会新启动一个页面并跳转到brolink2s.site域并加载一个JS，JS主要功能弹出显示通知并且诱导受害者点击允许按钮。

       受害者一旦点击允许，那么该网站就会加入chrome的消息推送列表，并且通知推送适用于任何平台（MAC、windows、Android）。

即使受害者的浏览器处于关闭状态，攻击者依然可以通过windows通知推送相关链接，推送效果图如下：

     我们统计从十月至今一共有十个域名重定向到browserneedupdate.com,域名类型也都为电影资源网、软件开发等，这就意味着攻击者完全可以在攻击的第一阶段只投递带有诱导受害者开启消息通知链接的钓鱼邮件，并且通过入侵合法网站设置跳转的方式绕过邮件网关检测，第二阶段攻击者根据目标主机的平台可以推送定制化的钓鱼链接，诱导受害者下载并运行诱饵文件，这种社工方式的可信度要比钓鱼邮件提示用户软件更新要高很多，并且非常隐蔽。

除此之外，UTG-Q-003还投递过如下类型的安装包，仍然是基于JPHP框架的下载者。

这也是为什么在一款俄语的恶意安装包上的差评竟由中文用户提交，这看起来很讽刺但这就是目前国内软件下载的糟糕生态。

       攻击者所使用的域名的注册信息都是与俄乌相关的，但我们无法获取到国外受害者的信息，特别是俄语区的受害者。故无法做出相关的归属。