🔑 APT-C-06组织在近期攻击活动中引入了新的恶意软件“winrar-x64-540.exe”,并利用朝鲜输入法安装程序“hana9.30_x64_9.exe”作为初始攻击载体,显示出其攻击手法的演变与更新。
🌐 恶意软件通过百度网盘、微信和U盘等多种途径传播,显示出该组织利用多种社会工程学和技术手段来渗透目标系统,扩大感染范围。
🔒 DarkSeal作为APT-C-06组织近几年的核心第二阶段载荷,其形式和功能在2022年后趋于稳定并持续沿用,表明该载荷在实现攻击目标方面具有高效性和可靠性。
⚙️ DarkSeal的执行流程较为复杂,包括利用计划任务启动白程序、DLL劫持解密加载其他载荷,最终通常释放Meterpreter或Thinmon等高级后门,用于建立持久化控制和进一步的恶意活动。
🔄 尽管APT-C-06组织不断更新其攻击链中的前、中段载荷,但DarkSeal作为其攻击活动的最终载荷,其不变性凸显了该组件在整个攻击体系中的核心地位和重要性。
原创 高级威胁研究院 2025-07-23 18:03 北京
随着不断更新的前、中段载荷,不变的最终载荷DarkSeal一直存在于APT-C-06近几年的攻击活动中
从2024年10月起出现了一款名为“hana9.30_x64_9.exe”的朝鲜输入法安装程序,今年6月份受影响用户数量明显增加,并且出现新的恶意软件“winrar-x64-540.exe”。恶意软件通过百度网盘,微信和U盘等方式接入用户机器,释放的载荷是APT-C-06在近些年来一直使用的第二阶段载荷DarkSeal。
从资源中提取原始的安装程序并执行。
从资源中提取载荷并释放到执行目录。
拷贝机器的白程序作为启动程序并为之创建计划任务实现持久化。
创建dllhost.exe进程,通过远程线程的方式注入一段Shellcode,用于将之前释放的正常程序替换当前的恶意安装程序。
DarkSeal这类恶意组件从2022年形式和功能稳定下来,并一直在APT-C-06的攻击活动中延用至今。DarkSeal由计划任务启动一个白程序开始组件的执行流程,利用DLL劫持解密加载其它载荷,最终的载荷通常是Meterpreter,也出现过Thinmon组件[i]。
所有加密文件由程序内部硬编码的key异或解密,解密的数据分两部分:第一部分Shellcode用于反射加载第二部分的PE文件,第二部分为包含实际功能的PE载荷。
附录 IOC
72.10.160[.]162:443
94.242.61[.]116:443
1e66854531d25a5425ccf3fd396be8eb
1cf0c09515f4d34911689a263a615e1d
88d3818709b9cf519fc4e515c5adde6b
团队介绍
TEAM INTRODUCTION
360高级威胁研究院
360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。
鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑