2025年4月22日，印控克什米尔地区发生针对游客的恐怖袭击；当地时间23日晚，印度宣布暂停河水共享等多项报复措施；24日，巴基斯坦宣布一系列对印反制措施，印巴两军在克什米尔控制线沿线发生小规模交火；直至5月7日，印度武装部队发起代号为“朱砂”的行动，打击巴基斯坦和巴控克什米尔地区的设施，印巴冲突再次升级。

2025年5月10日，印度同巴基斯坦达成停火协议。

在本次#印巴冲突 爆发前，360高级威胁研究人员在对全球网络空间的持续监测中，捕获到在南亚地区网络空间的APT组织活跃攻击活动。南亚网络空间上的明枪暗箭，也印证了印巴两国剑拔弩张的发展态势。

1. APT组织攻击领域和意图

在印巴矛盾冲突持续发展期间，活跃在南亚地区网络空间的APT组织主要为APT-C-24(#响尾蛇)、APT-C-35(#肚脑虫)、APT-C-08(#蔓灵花)、APT-C-09(#摩诃草)等。其中印方向网络攻击组织主要以周边地缘国家政府外交、国防军事、交通运输等关键行业领域作为首要目标。被攻击目标除集中在巴基斯坦地区外，还影响到孟加拉国、尼泊尔、斯里兰卡等南亚以及周边国家和地区。

2024年1月-2025年4月期间针对巴基斯坦网络攻击活跃度

2. 部分活跃APT组织攻击活动

2.1 APT-C-24(响尾蛇)

我们监测到APT-C-24(响尾蛇)组织在近期的网络攻击中，使用大量伪装成政府机构、军队网站域名格式的C2域名。

响尾蛇组织使用的与巴海军相关的诱饵文档

2024年9月，响尾蛇组织使用人工智能政策相关的诱饵文档，对巴基斯坦政府机构展开鱼叉钓鱼邮件攻击。

响尾蛇组织使用的与巴海军相关的诱饵文档

2025年4月，响尾蛇组织使用了与网络安全相关话题的诱饵文档对巴基斯坦海军展开鱼叉钓鱼邮件攻击。在此期间，响尾蛇组织还对地缘周边的尼泊尔、斯里兰卡等国展开攻击，以窃取相关情报。其中在对斯里兰卡的攻击活动中，使用了涉及我国国际交换生相关题材的诱饵文档。

响尾蛇组织使用的海军网络安全审计相关的诱饵文档

响尾蛇组织使用的尼泊尔签证题材相关钓鱼文档

响尾蛇组织使用的斯里兰卡国际交换生题材钓鱼文档

2.2 APT-C-08(蔓灵花)

APT-C-08(蔓灵花)组织在近期的攻击活动中也大量使用与周边国家政府、军队相关的钓鱼网页。2024年4月，蔓灵花组织开始使用.searchconnector-ms文件作为初始访问阶段的攻击载荷。

蔓灵花组织使用的与斯里兰卡空军、陆军相关钓鱼页面

蔓灵花组织使用的孟加拉政府、海军相关钓鱼页面

2.3 APT-C-09(摩诃草)

2024年4月，APT-C-09(摩诃草)组织通过投递带有地域特色话题的inp漏洞文档，针对地缘周边国家展开网络攻击。

1. APT-C-24（响尾蛇）

1.1 攻击技战术总结

我们通过对捕获的印巴持续对抗阶段响尾蛇组织对巴基斯坦相关目标攻击活动分析，该组织主要使用两种攻击流程。

其一：通过投递带有CVE-2017-0199和CVE-2017-11882漏洞利用的文档作为初始访问阶段攻击载荷，继而通过漏洞触发远程执行JavaScript脚本后加载后续攻击组件。

响尾蛇组织近期攻击流程一

其二：通过投递带有恶意lnk的压缩包作为初始访问阶段的攻击载荷，该恶意lnk文件被执行后，将通过mshta远程加载hta脚本，进而执行其携带的JavaScript脚本，并在内存中加载后续攻击组件。

响尾蛇组织近期攻击流程二

1.2 攻击样本分析

1.2.1 漏洞文档

360近期捕获到响尾蛇组织使用的投递带有CVE-2017-0199和CVE-2017-11882漏洞利用文档的钓鱼邮件如下：

响尾蛇组织钓鱼邮件

响尾蛇组织钓鱼邮件中的恶意文档内容

该恶意文档打开后，将会远程加载后续的rtf文档。由于攻击者服务器配置设置，非目标区域尝试下载该类文档会得到一个带有rtf头的空文档，而当目标区域用户执行，将会触发漏洞利用，进而执行JavaScript脚本。

远程加载后续的rtf文档，触发漏洞利用

1.2.2 Lnk文件

Lnk样本运行后执行远程加载 

1.2.3 Hta脚本

响尾蛇组织使用的hta脚本内携带了一段JavaScript脚本，通过base64解码并加载。

hta脚本通过base64解码并加载

1.2.4 Javascript脚本

响尾蛇组织使用的Javascript脚本通常由NotNetToJScript项目生成，主要功能为释放诱饵文档和加载.Net程序集。该脚本中包含对用户机器物理内存空间大小检查的逻辑，以对抗虚拟机环境。

Javascript脚本中检查物理内存空间逻辑

1.2.5 后门组件app.dll

app.dll组件一般充当下载器使用，从远端服务器获取后续的攻击组件并执行，其获取的远端数据通过异或算法解密，其数据头部前32字节为key。

后门组件：app.dll

1.2.6 后门组件sxshared.dll

该组件为JavaScript加载器，用于连接远端服务器获取后续JavaScript脚本，并在内存中执行。

后门组件：sxshared.dll

1.2.7 后门组件Dwrite.dll

该组件为加载器，通常带有混淆，功能为从指定文件中加载执行后续组件。

后门组件：Dwrite.dll

1.2.8 后门组件Moduleinstaller.dll

该组件为持久化组件，在此组件中有任务计划的创建，启动项中驻留，收集系统信息并回传等功能，并且仍然有下发后续组件的功能。

后门组件持久化操作

后门组件下载操作

2. APT-C-08（蔓灵花）

2.1 攻击技战术总结

APT-C-08（蔓灵花）组织在近期的攻击活动，主要以chm文件和searchconnector-ms文件作为初始载荷，对巴基斯坦相关目标展开钓鱼攻击。诱饵文档主题以商业合作、军事演习为主。受害者点击样本后，创建一个周期性计划任务，向C2发送设备和用户信息，并接收C2传回的powershell或cmd指令，用于下载执行后续的后门和窃密组件。

蔓灵花组织攻击流程示意

2.2样本分析

2.2.1 投递载荷

蔓灵花针对巴基斯坦的钓鱼邮件攻击中使用的searchconnector-ms文件是 Windows 系统中用于搜索连接器的配置文件。在simpleLocation标签中，记录了远程地址。用户在点击样本后，会通过webdav协议将远程文件映射到本地。

映射的文件为伪装成pdf文件的快捷方式，快捷方式的指令会创建一个周期性的计划任务，用于下载执行后续组件。

计划任务指令周期性执行，将设备名和用户名信息回传到C2。从C2下载powershell或cmd指令，以图片或其他扩展名的方式保存在用户路径下。

2.2.2 后门组件uvcresc.exe

键盘钩子捕获普通按键按下和组合键按下的消息。按键符合要求时，样本尝试获取当交互窗口的窗口名称。随后判断shift和Control是否按下。

判断是否Ctrl+v，获取剪切板的数据。

数据处理线程会解析按键数据，888888表示解析窗口名称，999999表示解析剪切板数据。之后将解析的数据写入文件。

以OPEN_ALWAYS创建文件，文件名为对应窗口的名称。文件保存在APPDATA\\Microsoft\\Common-Files路径下。

 2.2.3 

样本接收指令时，首先会接收一个四字节数据，该数据为功能序号，之后样本根据功能序号执行不同功能。

功能列表如下：

3.1 攻击技战术总结

APT-C-08（摩诃草）组织针对巴基斯坦的钓鱼攻击，主要使用inp文档作为初始载荷。以克什米尔、恐怖主义、间谍窃密等巴基斯坦相关敏感话题作为文档主题。InPage是南亚、中东地区广泛使用的专业排版软件，流行的InPage 2012等版本普遍存在CVE-2017-12824漏洞。攻击者正是针对此漏洞投递钓鱼文档进行攻击。用户点击后，触发漏洞，随后会加载其他后门组件。

摩诃草组织攻击流程示意

3.2 攻击样本分析

3.2.1 后门组件fonticonhost.exe

摩诃草组织针第一阶段的载荷fonticonhost.exe信息如下：

从资源段中解密出相关的配置信息。

与服务器交互，回传hwid和mail信息，如果接收数据为“1”时程序则sleep。

创建任务计划，配置文件中agent字段为3时复制文件到%appdata%目录下根据配置文件中的第4个参数命名(该程序为“DllHostcache”)并创建任务计划定时执行，共创建5个任务计划。

继续向服务器回传信息包括hwid、username、computername、osname、操作系统架构、反病毒程序等。随后通过配置文件中的第二个url下发后续组件“gameinput.exe”并通过cmd执行。

除此之外还继续向服务器发送hwid并判断根据返回值请求不同的组件类型下发执行。

接收数据为“1”时我们发现该组件为dll组件，执行该dll的导出函数在配置文件中，结合我们数据发现同种类型的dll组件并进行后续分析。

3.2.2 后门组件slb.dll

摩诃草组织第二阶段的slb.dl组件拥有丰富的功能，包括遍历所有磁盘目录收集指定文件信息回传，屏幕截图、浏览器窃密、下载组件并执行等。

遍历磁盘目录收集信息。

屏幕截图功能。

下发执行功能。

浏览器窃密功能，并将窃取信息以POST方式回传给服务端，同样以hwid方式区分受害者设备。

4. APT-C-35（肚脑虫）

4.1 攻击技战术总结

本次地缘冲突期间，肚脑虫组织主要通过投递带有恶意宏文档或带有漏洞的inpage文档作为附件的鱼叉邮件，为初始访问阶段的攻击载荷。当用户打开此恶意文档后，通过恶意vbs宏或是inp漏洞（CVE-2017-12824等）利用释放并加载后续的攻击载荷。

在近期攻击活动中，肚脑虫组织开始使用伪装的恶意ppt文档作为初始访问阶段攻击载荷，通过将文档中的内容模糊处理来诱导用户点击钓鱼链接，下载后续的攻击载荷完成后门的植入。

肚脑虫组织攻击流程示意

4.2 攻击样本分析

4.2.1 恶意PPT文档

肚脑虫组织使用的恶意ppt文档，通过对图片进行模糊处理，诱骗用户点击钓鱼链接。用户点击链接后，会从攻击者事先准备的托管服务器中下载后续的ppt文件。接下来的ppt文件内带有vba宏脚本。用户执行ppt文件启用宏，会执行相应的vba脚本下载并执行后续组件。

攻击者对图片进行模糊处理

下载并执行后续恶意组件

4.2.2 后门组件DZSunE2w8t.dll

4.2.2.1 导出函数?Cvfinder@@YAHXZ

该导出函数的主要功能是用于初始化部署样本获取Temp\LogicGate路径，随机生成一个长度为10的dll文件名称。

样本会将自身复制到该路径，并以随机名称重名。并且设计计划任务。/create /tn "BackupDrive" /tr "C:\Windows\Sysnative\rundll32.exe "%UserProfile%\AppData\Local\Temp\LogicGate\DZSunE2w8t.dll",?ConFinder@@YAHXZ" /sc minute /mo 7

4.2.2.2 导出函数?ConFinder@@YAHXZ

该导出函数的主要功能是负责下载后续恶意文件。

样本创建一个互斥体

样本内部分使用的字符串是二进制格式字符串。

其中部分字符串并未使用过，例如：

样本获取本地计算机信息。

通过GetComputerNameW获取计算机名称，通过GetUserNameW获取用户名。通过访问Software\Microsoft\Windows\CurrentVersion\Uninstall获取当前系统安装的程序列表。

数据拼接格式“用户名计算机名称|||软件安装列表”?”分割|||SGW20“

随后将收集到的本地数据进行AES加密运算。再进行base64码，并添加batac=前缀。其中key: 32 A3 D5 97 6E 5A BC F5 C4 68 A8 24 69 E5 C7 91，IV: 29 A9 B9 E9 E7 E5 E1 A3 A8 67 54 28 BC B7 A2 BE。使用CBC模式。

样本C2通信，将信息post传递。C2地址servicseskep[.]info。第一轮通信访问资源Zokonomestreka52perscv/komonikametapikolocorty。主要功能是连接C2，上传获取的机器信息。并判断C2返回的数据。

如果接受数据满足研判逻辑，会退出。否则会持续同C2通信。

样本第二次访问C2，接受C2传来的数据。本次访问的资源是Dekonobetaprastersfi/xopremosatabikanocretify。用于下载后续恶意组件。

本次请求的数据是由“用户名计算机名称|||oxepde.dll”组成，与之前一样AES加密再进行base64编码。拼接前缀data=。

样本把接受的恶意组件，保存在C:\ProgramData\POCM\oxepde.dll路径下。拼接命令

wmic process where "name='rundll32.exe'" delete"C:\ProgramData\POCM\oxepde.dll",TaskpOp用于结束之前的oxepde.dll进程。

随后样本对oxepde.dll设置计划任务。schtasks /create /tn "Microsoft run Scheduled" /tr C:\Windows\System32\rundll32.exe "C:\ProgramData\POCM\oxepde.dll",TaskpOp" /sc minute /mo 7

样本将上述计划任务的命令写入Temp\LogicGate路径的djkggosj.bat。随后执行此bat文件。用于将oxepde.dll设置为计划任务。

样本在C:\ProgramData\POCM路径下创建umnrol.gb，内会记录加密编码后的本地机器信息。

最后样本设置自删除脚本。并执行。

4.2.3 后门组件Oxepde.dll

样本内部分使用的字符串由AES加密再经过bae64编码进行保存。

样本解密字符串函数第三个参数取值为1和0，1表示解密样本自身携带的字符串。0表示解密其他字符串。 

当解密自身的字符串时，使用的key: 58 DE 47 EC 84 E3 C1 49 35 A3 F4 6A E2 46 63 8A， IV：5A EA 3E 37 C6 94 BC 29 77 60 6F 8D 45 EA CE 5A。

key: 32 A3 D5 97 6E 5A BC F5 C4 68 A8 24 69 E5 C7 91，IV: 29 A9 B9 E9 E7 E5 E1 A3 A8 67 54 28 BC B7 A2 BE。（与之前使用的一致）使用CBC模式。

与之前umnrol.gb文件内数据加密方式相同。经过base64和aes解密后，得到hcm/spnov。将每个字节减一，得到倒叙的字符串gbl.romnu。随后以两个字节一组，进行反转。

部分加密字符串用途说明

样本访问umnrol.gb，读取其中内容。

样本使用key: FC FA BC 69 6E AF 9E 83 38 A2 A3 F3 FB 9B B1 B3。IV: 5E 54 4A 3D E9 E2 2C 29 CE BA C7 AC D9 62 77 32。CBC模式，加密读取的umnrol.gb内的数据。拼接前缀data=。解密url等。

样本C2通信，C2: tiffyservics.info

样本通过ObtainUserAgentString检测代理相关信息

随后样本进行网络通信

如果接受C2数据含有“?”，表明为数据下载。同oxepde.dll下载时的通信流程。

否则C2返回的是插件指令。数据示例如下：

如果此时C2失效。读取备用谷歌网盘。从网盘内下载一段字符串，该字符串会解密出新的C2。分析时，此网盘的url下载字符串无法解密出正常C2地址。

样本对接收的数据进行分割。

以Ky1990point.dll>230410>0>Bringpont>0为例，样本随后基于“>”字符进行分割。

其中Ky1990point.dll为之后要访问插件名称。

230410之后并未被使用。

0表示执行功能号

Bringpont对应的dll的导出函数

0未被使用

样本基于功能号执行不同功能。

case 0，循环等待插件执行，并Free插件。

case 7主要功能是下载插件

样本把下载的文件保存到本地

执行下载的插件

case -5主要功能是删除插件。样本首先停止插件执行；

随后删除插件。

case -3主要功能是重新下载插件。样本首先暂停插件执行，并删除插件；

下载和执行新插件。     

阅读原文

跳转微信打开

Fish AI Reader

Fish AI Reader

AI辅助创作，多种专业模板，深度分析，高质量内容生成。从观点提取到深度思考，FishAI为您提供全方位的创作支持。新版本引入自定义参数，让您的创作更加个性化和精准。

FishAI

鱼阅，AI 时代的下一个智能信息助手，助你摆脱信息焦虑

联系邮箱 441953276@qq.com