APT

A collection of 8 posts
APT

南亚某组织的双平台后门:StealthServer

南亚地区长期以来都是网络攻击的高发地带,多个 APT 组织在此持续活跃且攻击频率和技术水平不断提升,我们也在关注和收集相关线索。从七月初以来陆续捕获到一批新的样本,包括 Windows 和 Linux 平台,这些文件的名字多与会议、采购等话题相关,比如 “Meeting_Ltr_ID1543ops.pdf.desktop”、“PROCUREMENT_OF_MANPORTABLE_&_COMPAC.pdf.desktop”,在执行时表面上会打开一份 PDF 文档以误导用户,而真正的恶意负载在后台静默运行,打开的文档内容也多与政治、军队、会议等话题相关,且基本与南亚某国相关。 经过分析,这是一款名为 “StealthServer” 的后门,核心功能使用 Golang 编写,支持 Windows 和 Linux 双平台,包括多个迭代版本。“StealthServer”这个名字来源于最初发现的 Linux 样本,
19 min read
APT

静默之控:主动与被动双模后门MystRodX的隐匿渗透

背景介绍 2025年6月6日,Xlab大网威胁感知系统监测到 IP 139.84.156.79正在传播一个VT低检测 4/65,名为dst86.bin的可疑ELF文件。多引擎检测模块将该文件标识为MIRAI僵尸网络,但AI研判模块却没有给出相应的结果。这个“异常”引起了我们的兴趣,经过分析确认它是Dropper,最终会释放出一个全新的后门木马,和Mirai完全无关,多家杀软将其标记为Mirai是不准确的。基于其传僠中使用的文件名dst,释放样本中的类名cmy_,多种形式的Xor算法,我们将它命名为MystRodX。 MystRodX是一个由c++语言实现的典型后门木马,支持文件管理,端口转发,反弹SHELL,sockets管理等功能。相较于一般的后门,MystRodX在隐匿性,灵活性俩方面具有非常鲜明的特点。其中隐匿性体现在对于不同级别敏感信息采用了差异化加密策略: 1. 虚拟机&调试器检测等相关敏感字符串使用单字节xor加密 2. AES密钥,Payload,激活报文使用自定义的Transform算法加密 3. 配置文件使用AES CBC模式加密 而灵活性则是M
17 min read
APT

黑白通吃:Glutton木马潜伏主流PHP框架,隐秘侵袭长达1年

简介 2024年4月29日,XLab 大网威胁感知系统捕获一起异常活动:IP 172.247.127.210 正在传播 ELF 版本的 winnti 后门木马。APT 相关告警的出现迅速引起了我们的注意。进一步溯源发现,该 IP 曾于2023年12月20日传播一个VirusTotal 0检测的恶意PHP文件init_task.txt ,这一线索为我们后续的调查提供了重要切入点。 以 init_task 为线索,我们进一步发现了一系列关联的恶意 PHP payload,包括 task_loader、init_task_win32、client_loader、client_task、fetch_task、l0ader_shell 等。这些 payload 的设计灵活,既可以单独运行,
17 min read
APT

0检测的Melofee 木马新变种曝光,专攻RHEL 7.9系统

简介 2024年7月27日,XLab的大网威胁感知系统检测到 IP 地址 45.92.156.166 正在传播一个名为pskt的ELF 文件,它在 VirusTotal 上尚无检测。该样本触发了两条告警:文件存在 Overlay 区段,且通信域名疑似模仿微软。经过分析,我们确认这是一个专门针对 Red Hat Enterprise Linux (RHEL) 7.9 的 Melofee 后门木马变种。 Melofee 是一个用 C++ 编写的后门木马,支持信息收集、进程管理、文件操作和 SHELL 等功能,最早于 2023 年 3 月被 ExaTrack 披露,据信隶属于 APT 组织
8 min read