蔓灵花组织使用NUITKA打包的python样本进行投递

APT-C-08  蔓灵花
APT-C-08（蔓灵花）组织（亦称 BITTER）是长期活跃于南亚方向、具备较强网络攻击能力的境外 APT 组织，自 2013 年起持续开展高级持续性威胁攻击活动。该组织攻击活动覆盖南亚及周边区域，长期针对政府部门、军工、国防、高校及涉外相关机构实施定向网络入侵。其攻击体系成熟，具备完善的武器库与攻击链路，是当前对区域网络安全具有持续高威胁的境外 APT 组织之一。

近期360安全大脑监测到多起蔓灵花组织攻击事件，通过直接投递NUITKA打包的python样本，或投递chm文件加载NUITKA打包的python样本。用户点击后，样本会下载后续后门组件。

一、攻击活动分析 1.攻击流程分析
蔓灵花组织此类攻击的核心初始载荷为NUITKA打包的python样本，该文件功能简单，下载一个后门组件。该后门组件主要功能是执行cmd指令。攻击者通过远程执行cmd指令，从而进行以下操作：获取系统基本信息、后续后门组件下载、下载python脚本执行套件、下载窃密组件等。整个攻击流程如下图所示：













































































































二、归属研判
蔓灵花使用NUITKA打包的python样本攻击，最早出现在25年年底，主要针对于巴基斯坦、孟加拉等周边国家。近期监测发现，该类样本的攻击目标范围出现新的变化。

1.对本次攻击的relish_for_ketty.dll，与巴基斯坦的历史样本进行对比，二者代码执行流程非常一致，均使用了python312版本，且加载使用的python模块也完全相同。

2.本次攻击使用的Remcos远控组件，也曾出现在过往针对巴基斯坦地区的攻击活动中。

综合上述线索可判断，本次攻击归属于APT-C-08（蔓灵花）组织。
总结


APT-C-08（蔓灵花）组织是一个拥有南亚地区国家民族背景的APT组织，近年来持续对南亚地区及周边国家实施网络攻击活动，攻击目标覆盖政府、军工、高校和驻外机构等企事业单位组织，是当前具有较高威胁度的境外APT组织之一。

在这里提醒用户加强安全意识，切勿执行未知样本或点击来历不明的链接等操作。这些行为可能导致系统在没有任何防范的情况下被攻陷，从而导致机密文件和重要情报的泄漏。

附录IOC

MD5：

397591dd098f9240684f9a999e38eb12

23f5e51bf6d540553aa88c48480450a8

d286d439393bde76b734bd3406628d47

ab17051365bb75c2fd4637b0d560a312

e7c535d2ef05405870923204dd5829d6

b33c8f6a2bebe8d6a41bff851a45f35f

13209c997f62c6c6934bc3f20a6adbd8

017eb0e90e70a48e3b57f9c315e280f5

C2&URL:

89.46.236[.]152:443

https://domainnamevalidator[.]com/uploads/taskhost

213.111.185[.]78:443

https://domainregistationcheck[.]com/uploads/b1

https://151.236.4[.]164:5010

getserviceupdates[.]com

http://46.30.191[.]221/host.txt

http://46.30.191[.]221/MsEdge

http://46.30.191[.]221/taskhost

http://46.30.191[.]221/appv1.exe

http://46.30.191[.]221/input.txt

http://46.30.191[.]221/ppersis.py

http://46.30.191[.]221/pw.exe

http://46.30.191[.]221:8080/get-pip.py

http://46.30.191[.]221/cf.py

http://46.30.191[.]221/ppp.py

89.31.121[.]220:443