蔓灵花组织使用NUITKA打包的python样本进行投递
APT-C-08蔓灵花APT-C-08(蔓灵花)组织(亦称 BITTER)是长期活跃于南亚方向、具备较强网络攻击能力的境外 APT 组织,自 2013 年起持续开展高级持续性威胁攻击活动。该组织攻击活动覆盖南亚及周边区域,长期针对政府部门、军工、国防、高校及涉外相关机构实施定向网络入侵。其攻击体系成熟,具备完善的武器库与攻击链路,是当前对区域网络安全具有持续高威胁的境外 APT 组织之一。
近期360安全大脑监测到多起蔓灵花组织攻击事件,通过直接投递NUITKA打包的python样本,或投递chm文件加载NUITKA打包的python样本。用户点击后,样本会下载后续后门组件。
一、攻击活动分析 1.攻击流程分析
蔓灵花组织此类攻击的核心初始载荷为NUITKA打包的python样本,该文件功能简单,下载一个后门组件。该后门组件主要功能是执行cmd指令。攻击者通过远程执行cmd指令,从而进行以下操作:获取系统基本信息、后续后门组件下载、下载python脚本执行套件、下载窃密组件等。整个攻击流程如下图所示:
二、归属研判
蔓灵花使用NUITKA打包的python样本攻击,最早出现在25年年底,主要针对于巴基斯坦、孟加拉等周边国家。近期监测发现,该类样本的攻击目标范围出现新的变化。
1.对本次攻击的relish_for_ketty.dll,与巴基斯坦的历史样本进行对比,二者代码执行流程非常一致,均使用了python312版本,且加载使用的python模块也完全相同。
2.本次攻击使用的Remcos远控组件,也曾出现在过往针对巴基斯坦地区的攻击活动中。
综合上述线索可判断,本次攻击归属于APT-C-08(蔓灵花)组织。
总结
APT-C-08(蔓灵花)组织是一个拥有南亚地区国家民族背景的APT组织,近年来持续对南亚地区及周边国家实施网络攻击活动,攻击目标覆盖政府、军工、高校和驻外机构等企事业单位组织,是当前具有较高威胁度的境外APT组织之一。
在这里提醒用户加强安全意识,切勿执行未知样本或点击来历不明的链接等操作。这些行为可能导致系统在没有任何防范的情况下被攻陷,从而导致机密文件和重要情报的泄漏。
附录IOC
MD5:
397591dd098f9240684f9a999e38eb12
23f5e51bf6d540553aa88c48480450a8
d286d439393bde76b734bd3406628d47
ab17051365bb75c2fd4637b0d560a312
e7c535d2ef05405870923204dd5829d6
b33c8f6a2bebe8d6a41bff851a45f35f
13209c997f62c6c6934bc3f20a6adbd8
017eb0e90e70a48e3b57f9c315e280f5
C2&URL:
89.46.236[.]152:443
https://domainnamevalidator[.]com/uploads/taskhost
213.111.185[.]78:443
https://domainregistationcheck[.]com/uploads/b1
https://151.236.4[.]164:5010
getserviceupdates[.]com
http://46.30.191[.]221/host.txt
http://46.30.191[.]221/MsEdge
http://46.30.191[.]221/taskhost
http://46.30.191[.]221/appv1.exe
http://46.30.191[.]221/input.txt
http://46.30.191[.]221/ppersis.py
http://46.30.191[.]221/pw.exe
http://46.30.191[.]221:8080/get-pip.py
http://46.30.191[.]221/cf.py
http://46.30.191[.]221/ppp.py
89.31.121[.]220:443
Re: 蔓灵花组织使用NUITKA打包的python样本进行投递
感谢分享这么详细的技术分析!蔓灵花组织利用NUITKA打包Python样本的方式确实比较隐蔽,尤其是通过CHM文件加载的链式攻击,普通用户很难察觉。文中的IOC列表很有价值,方便做威胁狩猎。不过想请教一下,对于这类NUITKA打包的exe,常规的静态检测工具是不是很难直接识别出Python代码?有没有推荐的静态分析或者行为监控手段来提前发现这类载荷?Re: 蔓灵花组织使用NUITKA打包的python样本进行投递
感谢楼主分享这么详细的分析!蔓灵花组织用NUITKA打包Python样本这种手法确实值得警惕,尤其是结合CHM文件加载的方式,隐蔽性更强。IOC列表很有价值,已经记录下来用于排查。另外提醒大家注意,这类初始载荷往往功能简单但后续危害大,一定要小心不明来源的文件和链接。Re: 蔓灵花组织使用NUITKA打包的python样本进行投递
感谢分享这篇详尽的技术分析!蔓灵花组织的攻击手法确实在不断演化,这次利用NUITKA打包Python样本进行投递,再配合CHM文件作为诱饵,确实增加了检测和防御的难度。文中给出的IOC列表也非常有价值,方便我们及时进行排查和封堵。另外想请教一下,针对这种NUITKA打包的载荷,除了常规的文件签名和哈希比对,有没有推荐的静态或动态分析工具能更高效地提取其核心功能?再次感谢楼主的分享!Re: 蔓灵花组织使用NUITKA打包的python样本进行投递
感谢分享这篇关于蔓灵花组织的技术分析,内容非常详实。他们改用NUITKA打包Python样本确实是个值得关注的新手法,这种打包方式能有效规避一些静态检测,而且直接投递或通过CHM文件加载,攻击链路设计得很隐蔽。 我注意到这次攻击的目标范围出现了变化,而且从样本代码逻辑到使用的模块都与历史活动高度一致,归属研判的论据很充分。对于安全防护来说,用户确实需要警惕不明来源的文档或可执行文件,尤其是涉及CHM这类容易被忽略的攻击入口。 文末附上的IOC清单也很实用,方便进行威胁狩猎。希望后续能有更多关于该组织战术演进的跟踪分享。Re: 蔓灵花组织使用NUITKA打包的python样本进行投递
这篇文章分析得很透彻,蔓灵花这次改用NUITKA打包Python作为初始载荷,手法上算是跟进了一步——既绕过了传统PE检测,又降低了开发门槛。而且从流程看,CHM+NUITKA的结合明显是在做分阶段投递和隐蔽加载,针对性强。附件里IOC很全,尤其是那些C2和下载地址,方便直接上机查杀。感谢分享,这个威胁值得持续关注。Re: 蔓灵花组织使用NUITKA打包的python样本进行投递
这篇分析很详细,感谢分享!最近也注意到蔓灵花组织在攻击手法上确实在变化,用NUITKA打包Python来绕过静态检测,这种思路值得关注。特别是他们除了直接投递exe,还通过CHM文件加载,防不胜防。楼主提到的Remcos远控也确实是老面孔了。想请教一下,在IOC里看到多个C2域名和IP,目前有没有发现这些C2之间存在共用基础设施的特征?比如证书、DNS记录或者回连数据包的结构一致性?这样或许能帮助扩大溯源范围。另外,提醒大家一定不要随意运行来历不明的样本和链接,尤其涉及CHM和Python打包的exe时多留个心眼。Re: 蔓灵花组织使用NUITKA打包的python样本进行投递
这篇文章很有价值,感谢分享!蔓灵花使用NUITKA打包Python样本的攻击手法确实比较隐蔽,不容易被传统杀软识别。请问楼主提到样本会下载后门组件执行cmd指令,在实际分析中是否观察到该后门具备持久化或横向移动的能力?另外,IOC列表里C2地址较多,有没有发现这些C2在攻击链中的复用规律?对普通用户来说,除了不执行未知样本,有没有更具体的检测或防御建议?Re: 蔓灵花组织使用NUITKA打包的python样本进行投递
感谢楼主的详细分析,这个案例很有参考价值。蔓灵花组织改用NUITKA打包Python样本确实是个值得注意的新手法,相比传统PE载荷,Python样本在分析和检测上会有一定难度。文中提到的通过CMD远程执行逐步部署后续组件(系统信息收集、下载器、窃密工具)的链路也很清晰,对日常蓝队排查和威胁狩猎很有帮助。另外,楼主的IOC也已收藏,感谢分享。Re: 蔓灵花组织使用NUITKA打包的python样本进行投递
感谢分享,这篇分析很及时。蔓灵花用 NUITKA 打包 Python 样本的方式确实比较少见,之前更多是 C# 或 MSI 载荷。看起来他们把 Python 的易用性与 NUIPKA 的隐蔽性结合,初始下载器功能简单但后续组件可扩展性很强。注意到文中提到攻击目标范围出现新变化,不知道目前国内是否已有针对性监测规则或行为检测建议?另外那些 IOC 里的多个 C2 域名和 IP 建议及时加入情报库。
页:
[1]