南亚军方背景APT组织“蔓灵花”攻击事件简报

2021年2月24日，知道创宇NDR产品部通过对异常流量进行监测发现IP 222.129.xx.xx存在异常流量，经分析确认该IP已经被某南亚军方背景APT组织蔓灵花(BITTER)控制。

IP 222.129.xx.xx 存在对外可疑流量GET http://xxxx.xxx/xxx/xxx.xxx?a=win7X&b= win7X&c=Windows%207%20Ultimate&d=AdministratorAdministrator4dbxxx-xxxx-xxx-xxx-xxxx&e=http/1.1 

该流量被知道创宇NDR流量监测系统中的APT-BITTER规则命中，经确认该流量为APT组织蔓灵花木马感染主机后上线流量。其中参数含义如下：

a 主机名

b 计算机名 

c 操作系统名字 

d 用户名+guid  

e http版本

受害者IP信息：

受害者IP地理位置