1 抽象

2023年于今，东北亚标的代表性APT（高等捏续性胁迫）组织伪猎者（APT-C-60）的举止尤为平凡，已屡次对政府机关和高校张开纰谬。这些纰谬中使用了多种纰谬兵器，包括开源器用和自研坏心软件。纰谬经过中，伪猎者组织通过HTTP和HTTPS契约与C&C就业器进行通讯。通讯数据平凡经过XOR算法和编码进行加密，诚然这些加密阵势相对顺心，但仍能在一定进度上对通讯数据进行保护，加多防患难度。

不雅成瞰云（ENS）-加密胁迫智能检测系统概况对伪猎者组织使用的多款纰谬兵器进行有用检出。

2 APT-C-60 伪猎者组织技战法

伪猎者（APT-C-60）是一个活跃于东北亚地区的高等捏续性胁迫（APT）组织，初度清晰于2021年，但其纰谬举止可纪念至2018年。该组织主要通过垂纶邮件和0Day间隙等阵势入侵计划集合，并实行信息窃取。伪猎者的纰谬计划主要靠拢执政鲜和中国大陆的政府机关，以及波及买卖与文化换取的关联单元。该组织具有多套邮件探针技能，用于刺探计划单元和个东说念主使用的邮件客户端版块、办公软件信息等[2]。

张开剩余85%

该组织在实行纰谬时，常使用LNK下载者进造孽意载荷的分发，且载荷的解密机制在曩昔两年内保捏一致，展现出其高效且厚实的纰谬模式。此外，伪猎者还使用了具备键盘纪录、根据盗取等功能的SpyGlace后门器用，旨在始终监控并窃取关节敏锐信息[1]。

表 1 伪猎者组织技战法回来

2.1 纰谬经过

2023年，伪猎者组织哄骗LNK文献下载多个坏心文献，并通过解密剧本解密出多个文献，包括加载器、下载器和足迹排除器用。具体纰谬经过如下图所示。

图 1 伪猎者纰谬经过

2.2 加密通讯分析

2023年伪猎者哄骗LNK文献从不同的就业器下载了3个文献conf.txt、wimserv.txt和pigment.hlp。其中pigment.hlp为Javascript撰写的解密剧本，conf.txt、wimserv.txt均为加密载荷。

图 2 下载解密剧本

2023年于今加密载荷数据结构共包含如下2种，第二种比第一种新增了2个字符“\\”。

图 3 第一种数据结构

图 4 第二种数据结构

使用伪猎者自界说编码表进行解密，即可解密出PE文献。自界说编码表由默许编码表异或3生成，具体为“BA@GFEDKJIHONMLSRQPWVUT[ZYba`gfedkjihonmlsrqpwvut{zy32107654;:(,>”。

图 5 加密载荷

图 6 不错解密出两个文献的加密载荷

2.3 捏久化

伪猎者组织通过创建贪图任求杀青捏久化操作。

图 7 创建贪图任务

伪猎者组织通过COM组件劫捏杀青捏久化。

表 2 添加注册表项

3 居品检测

不雅成瞰云（ENS）-加密胁迫智能检测系统概况对伪猎者组织使用的多款纰谬兵器进行有用检出。

图 8 伪猎者NdBB下载者木马检出截图

4 回来

东北亚标的APT组织平凡招揽多阶段的纰谬政策，使用0Day间隙、下载器、加载器、信息汇集器用以及远控木马等逐步浸透计划集合。这些组织会哄骗闲居网站就业以及免费云表存储空间来覆盖其举止，从而加多被检测的难度。在纰谬实行经过中，通过伪装成国内著名大厂的域名来诈欺受害者，同期会故意错开受害者的责任时间分发坏心载荷，从而缩短被实时发现的风险[2]。尽管这些纰谬组织在免杀才智上相对较弱[2]，但通过精密的阶段性纰谬和有用的伪装政策，它们还是概况成功浸透并纵容计划集合，取得最终的敏锐信息或数据。不雅成科技安全议论团队将持续跟踪和分析东北亚标的APT组织使用的开源和自研木马，并束缚优化检测方法，以合乎东北亚标的APT组织变化的加密通讯阵势，进一步防守加密集合空间的安全。

5 IoC

6 参考连结

[1]. WPS用户警惕！APT-C-60哄骗WPS Office间隙部署SpyGlace后门

https://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg==&mid=2247545541&idx=1&sn=3e287b0b3ad08f9b440684d7eb685583

[2]. 微步在线 2023年胁迫谍报及APT举止分析阐扬

https://archive.threatbook.cn/threatbook/2023-ThreatBook-CTI-APT-Analysis-Report.pdfNinegame九游体育

发布于：北京市