近日，360高级威胁研究院捕获到APT-C-47组织疑似针对知识产权行业的攻击样本。该组织惯用ClickOnce技术投递载荷，利用C#和C++模块层层递进，最终内存加载Golang编译的远控木马。攻击流程包括鱼叉邮件钓鱼、下载和执行恶意文件，以及上传主机信息等。文章详细分析了攻击链中的关键组件，如ClickOnce.exe、ClickOnce.dll和BrowserMgr.exe，并揭示了其伪装成知识产权行业相关内容的意图。研究表明，该组织持续更新攻击武器，用户应提高警惕。

🎣 APT-C-47组织疑似通过鱼叉邮件进行钓鱼攻击，诱导用户点击恶意链接，下载并执行ClickOnce程序部署文件。

⚙️ 攻击流程使用ClickOnce技术，该技术用于部署恶意软件。ClickOnce程序部署文件会下载ClickOnce部署清单文件，然后根据该文件的配置信息下载攻击组件。

📦 攻击组件包括C#模块、C++模块和Golang编译的远控木马。ClickOnce.exe首先加载ClickOnce.dll，后者解密配置信息，并释放BrowserMgr.exe。BrowserMgr.exe加载恶意载荷opera_elf.dll，最终内存加载远控木马。

🎭 攻击者伪装成知识产权行业相关内容，如Harrison IP事务所的收费表和IPReg的伪装内容，以诱导用户点击。ClickOnce.dll会收集主机信息并上传到服务器。

原创 高级威胁研究院 2025-04-02 17:33 北京

我们在日常狩猎中捕获到APT-C-47组织疑似针对知识产权行业的攻击样本，攻击者还是一如既往地使用ClickOnce技术投递下一阶段载荷，使用C#模块，以及C++模块经过层层递进，并最终内存加载Golang编译的远控木马

APT-C-47

  旺刺

APT-C-47（旺刺）组织是一个具有朝鲜半岛地区背景的高级持续性威胁组织，该组织的攻击活动最早可以追溯到2018年。由于该组织在攻击活动中经常使用ClickOnce部署技术，根据该技术的谐音，所以被360命名为“旺刺”组织。

近期，我们在日常狩猎中捕获到APT-C-47组织疑似针对知识产权行业的攻击样本，攻击者还是一如既往地使用ClickOnce技术投递下一阶段载荷，使用C#模块，以及C++模块经过层层递进，并最终内存加载Golang编译的远控木马。在本文中我们将披露整个攻击过程，以便用户对此类威胁有更深入的了解。

 一、攻击活动分析 

1.攻击流程分析   

在本次攻击中，APT-C-47组织疑似通过鱼叉邮件进行钓鱼攻击，会诱导用户点击安装链接，从而安装ClickOnce程序的部署文件。

整个流程如下图所示，通过ClickOnce程序部署文件（.appref-ms）下载ClickOnce部署清单文件（.application），然后根据该文件的配置信息（.manifest），下载两组攻击组件，第一组攻击组件的主要功能是将第二组攻击组件拷贝到特定目录下，然后执行，设置持久化，上传主机信息。第二组攻击组件是一个白利用组件，其功能是内存装载远控木马。    

2.载荷投递分析   

APT-C-47组织诱导用户点击恶意链接下载ClickOnce程序部署文件，其样本下载链接如图所示。

一旦打开运行该文件，便会借助系统进程dfsvc.exe下载并运行该文件配置信息中指定的文件。

其下载的.application文件基本信息如下：

MD5	702372ef2fe4e7be7808a184135ea13a
文件名称	mail163_letter_x64.application
文件大小	1.93 KB (1,983 字节)

具体内容如下：

当运行 ClickOnce 部署清单文件(.application),操作系统会读取codebase配置来获取安装所需要的资源，该资源文件themes40\app40.manifest位于.application文件下载链接的相对路径下。获取到该文件后，会根据app40.manifest提供的信息下载下一阶段的恶意载荷，并指定入口执行文件。app40.manifest的基本信息如下：

MD5	381708a81f4e1828f70e3d3acb16042a
文件名称	app40.manifest
文件大小	6.58 KB (6,747 字节)

如下图所示，根据app40.manifest所提供的配置信息，会从远端下载BrowserMgr.exe，opera_elf.dll等多个后续的攻击组件，以及clickonce.exe，clickonce.dll等依赖项。入口文件为clickonce.exe，这意味着该文件在部署时最先被执行。

3.恶意载荷分析

ClickOnce.exe是整个攻击组件中最先被执行的文件，具体信息如下。

MD5	7d1ff2bcf5a0614d84f564c8fdc99a32
文件名称	ClickOnce.exe
文件大小	10.0 KB (10,240 字节)
Timestamp	2024-12-16 10:54:03

ClickOnce.exe首先会内存加载ClickOnce.dll并执行“Say”函数。

然后将下一阶段的攻击组件复制到“%PROGRAMDATA%\Windows\en-US”目录下，并执行“BrowserMgr.exe”。

ClickOnce.dll是被ClickOnce.exe加载的文件，其主要功能是上传主机信息以及打开伪装内容。ClickOnce.dll文件信息如下：

MD5	cf09c3139f9458dce5df0bb54642a45d
文件名称	ClickOnce.dll
文件大小	19.5 KB (19,968 字节)
Timestamp	2024-12-23 15:43:09

ClickOnce.dll首先会读取同级目录下的“res.jpg”，并利用XOR解密出配置信息。

然后读取BrowerMgr.jpg，解密并释放到“C:\ProgramData\Windows\en-US\BrowserMgr.exe”，解密后的EXE文件跟之前部署下载的BrowserMgr.exe文件一样，这步操作可能只是为了防止BrowserMgr.exe直接下载失败。

接着，打开存放伪装内容的URL链接，该伪装内容是Harrison IP事务所的收费表，Harrison IP是一家专利和商标律师事务所。    

除此以外，我们还发现该组织使用的另外一份关于IPReg的伪装内容，知识产权监管委员会(IPReg)是一个监管英国(UK)专利律师和商标律师职业的机构。这两份伪装内容都是和知识产权行业息息相关。所以我们怀疑近期旺刺组织可能正在针对知识产权行业进行有计划的攻击渗透。

最后，ClickOnce.dll将MAC地址，系统信息，进程信息，文件信息等主机相关信息编码上传到服务端。

第二层攻击组件是一个白利用组件，白文件名为BrowserMgr.exe，具有“Opera Norway AS”签名信息，恶意载荷名为opera_elf.dll，恶意载荷信息如下：

MD5	f9e1ff186125842f026e63f6e11cc34e
文件名称	opera_elf.dll
文件大小	158 KB (162,304 字节)
Timestamp	2024-12-13 18:07:06

BrowserMgr.exe运行之后，会加载同级目录下的opera_elf.dll文件，并执行IsBrowserProcess导出函数。该函数的主要功能是读取同级目录下的logo.png文件，解密并内存装载PE可执行文件，最终执行GetNextString导出函数。

opera_elf.dll恶意载荷通过内存装载执行最终的远控木马（md5:
2fcdcf63ed3e4bfb94ae9c6b28feb744），该远控木马通过Golang编译，执行入口点为“GetNextString”函数。

该远控木马首先创建检查名为“{c120-381c24-0612}”互斥量以确保系统中只存在单一实例。  

接着，获取时间戳，主机名，系统版本，拼接成“%timestarmp%_%hostname%_%version%”形式。

检测apple.com的连通性之后，将获取的主机信息编码之后，以POST方式发送到“http[:]//**.webredirect.org/news”。

联通C2服务器之后，根据返回的命令内容执行不同的功能。远控命令号和功能如下，和之前披露的远控功能一致，本文不做赘述。

指令字符串	功能
time	设置接受指令的时间间隔
ldll	加载dll，并调用GetVersionString函数
lmem	加载文件到内存
rtel	根据下发的端口，与c2重建新的tcp连接
uweb	上传指定目录下的所有文件
sayo	清理退出

 二、归属研判 

通过对本次攻击事件进行深入分析，我们认为本次攻击符合旺刺组织所使用的技战术特征，具体如下：

1）本次攻击事件中，攻击者通过ClickOnce技术进行载荷投递，符合旺刺组织使用的载荷投递方式。

2）本次攻击事件中，攻击者将配置信息，或者最终载荷附加在正常的“png”或者“jpg”文件中，然后使用XOR解密之后进行使用,并且对图片有效载荷的异或解密密钥(9D88B3FA)与之前相同，这和我们之前披露的旺刺组织处理后续载荷的手法一致^[1]。

3）本次攻击中所使用的最终载荷和之前披露的Golang后门基本一致，所使用的命令，功能和之前披露的旺刺组织所使用后门一致。

总结

APT-C-47（旺刺）组织自从2020年被披露以来，多次使用ClickOnce技术用于后续载荷投递，ClickOnce技术属于微软自带的软件部署技术，导致其极其容易被用于诱导安装恶意软件。在本次攻击中，除了使用之前披露的C#加载器，Golang后门程序外，还使用了C\C++加载器。这些进一步揭示了APT-C-47正在不断地丰富其攻击武器，以应对新的安全软件的防御。

在这里提醒用户加强安全意识，切勿执行未知样本或点击来历不明的链接等操作。这些行为可能导致系统在没有任何防范的情况下被攻陷，从而导致机密文件和重要情报的泄漏。

附录 IOC

702372ef2fe4e7be7808a184135ea13a

381708a81f4e1828f70e3d3acb16042a

7d1ff2bcf5a0614d84f564c8fdc99a32

cf09c3139f9458dce5df0bb54642a45d

f9e1ff186125842f026e63f6e11cc34e

2fcdcf63ed3e4bfb94ae9c6b28feb744

C2

js6.webmail.**.**.**-plugin.com

**.webredirect.org

support**.**-safeserver.com    
**-portal.com

参考

[1]https://mp.weixin.qq.com/s/h_MUJfa3QGM9SqT_kzcdHQ

团队介绍

TEAM INTRODUCTION

360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360保障国家网络安全提供有力支撑。

阅读原文

跳转微信打开