360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360安全云盘
360随身WiFi
360搜索
系统急救箱
重装大师
勒索病毒救助
急救盘
高危漏洞免疫
360压缩
驱动大师
鲁大师
360换机助手
360清理大师Win10
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
360加固保
360贷款神器
360手机浏览器
360安全云盘
360免费WiFi
安全客
手机助手
安全换机
360帮帮
清理大师
省电王
360商城
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360互助
信贷管家
360摄像机云台AI版
360摄像机小水滴AI版
360摄像机云台变焦版
360可视门铃
360摄像机云台1080p
家庭防火墙V5S增强版
家庭防火墙5Pro
家庭防火墙5SV2
家庭防火墙路由器5C
360儿童手表S1
360儿童手表8X
360儿童手表P1
360儿童手表SE5
360智能健康手表
行车记录仪M310
行车记录仪K600
行车记录仪G380
360行车记录仪G600
儿童安全座椅
360扫地机器人X90
360扫地机器人T90
360扫地机器人S7
360扫地机器人S6
360扫地机器人S5
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360随身WiFi
360搜索
系统急救箱
重装大师
急救盘
勒索病毒救助
360压缩
驱动大师
鲁大师
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
手机急救箱
360加固保
360贷款神器
360免费WiFi
安全客
手机助手
一键root
安全换机
360帮帮
信用卫士
清理大师
省电王
360商城
流量卫士
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360手机N7
360手机N6
Pro
360手机vizza
360手机N5S
360儿童手表6C
360儿童手表6W
360儿童手表SE2代
360手表SE2Plus
360老人手表
360摄像机大众版
360安全路由器P3
360安全路由器P2
360儿童机器人
外设产品
影音娱乐
平板电脑
二手手机
二代 美猴王版
二代
美猴王领航版
标准升级版
后视镜版
车载电器蔓灵花组织使用NUITKA打包的python样本进行投递
- 2026-05-07 10:52:44
APT-C-08 蔓灵花
APT-C-08(蔓灵花)组织(亦称 BITTER)是长期活跃于南亚方向、具备较强网络攻击能力的境外 APT 组织,自 2013 年起持续开展高级持续性威胁攻击活动。该组织攻击活动覆盖南亚及周边区域,长期针对政府部门、军工、国防、高校及涉外相关机构实施定向网络入侵。其攻击体系成熟,具备完善的武器库与攻击链路,是当前对区域网络安全具有持续高威胁的境外 APT 组织之一。
近期360安全大脑监测到多起蔓灵花组织攻击事件,通过直接投递NUITKA打包的python样本,或投递chm文件加载NUITKA打包的python样本。用户点击后,样本会下载后续后门组件。
一、攻击活动分析
1.攻击流程分析
蔓灵花组织此类攻击的核心初始载荷为NUITKA打包的python样本,该文件功能简单,下载一个后门组件。该后门组件主要功能是执行cmd指令。攻击者通过远程执行cmd指令,从而进行以下操作:获取系统基本信息、后续后门组件下载、下载python脚本执行套件、下载窃密组件等。整个攻击流程如下图所示:
2.恶意载荷分析
捕获的恶意样本如下所示:
MD5 | 397591dd098f9240684f9a999e38eb12 |
文件名称 | delivery_of_the_aviation_technical_equipment.exe |
文件大小 | 5.72 MB (5999104 bytes) |
文件类型 | exe |
1)样本为NUITKA打包的文件。
2)打包的python版本为python312。NUITKA特征是会将组件释放到%TEMP%\onefile_XXXX_XXXXXXX文件夹中。
3)该样本核心功能是连接C2,获取C2命令执行。NUITKA打包python的逻辑,是将py脚本中每一行代码,都使用C语言进行实现。以这行代码为例“socket.socket(socket.AF_INET, socket.SOCK_STREAM)”(这也是relish_for_ketty的核心代码):
首先是从模块列表中获取到socket的模块。
从socket模块中,获取socket类。
v
获取socket类中AddressFamily_type,等同于代码“socket.AF_INET”。
最后执行socket类的构造函数,创建一个socket对象。
4)样本连接C2:89.46.236.152:443。
本次NUITKA样本,需接收C2传来的cmd命令,才会执行才会进行后续操作。本次捕获到的C2命令分为五类:
第一类:获取系统信息
第二类:下载后续组件
捕获到url:
https://domainnamevalidator[.]com/uploads/taskhost
保存到c:\programdata\usoshared\taskhost.exe
第三类:样本复制
通过certutil来进行文件复制
第四类:配置计划任务、启动项、开始菜单快捷方式。
注:未捕获到样本
%LocalAppData%\\Microsoft\\WindowsApps\\MsEdge.exe
第五类:解压需要使用的组件,如:python
注:未捕获到myarchive.rar文件。
python.zip为正常的python安装包。安装包会保存到%userprofile%\downloads中。该python版本是312。
3.攻击组件分析
· shell后门组件
该组件主要功能为执行C2传输的cmd指令。
MD5 | 23f5e51bf6d540553aa88c48480450a8 |
文件名称 | taskhost.exe |
文件大小 | 248.50 KB (254464 bytes) |
文件类型 | exe |
1)样本判断互斥体,保证单独执行。
2)连接C2:213.111.185[.]78:443。
3)样本向C2发送上线包,上线包内容为:用户名@计算机名\n系统版本\n。
样本接收C2指令,执行cmd指令,并将对应结果传回C2。
捕获到攻击者命令有五类:
第一类:将taskhost.exe设置为计划任务和启动项
第二类:查看系统的信息
第三类:下载后门组件
url:
https://domainregistationcheck[.]com/uploads/b1
保存到c:\programdata\usoshared\crsrs.exe
第四类:静默安装python环境,并下载执行py脚本。python的运行环境会被安装到C:\\Python312中。
注:未捕获到对应python脚本
第五类:下载Remcos后门
url: http://46.30.191[.]221/pw.exe
样本被保存到
c:\programdata\usoshared\logs\imagingdevices.exe
· 文件窃密组件
该工具为文件窃密组件,主要功能是用于监测存储设备变更情况,并将存储设备的文件数据同步到C2服务器中。
MD5 | d286d439393bde76b734bd3406628d47 |
文件名称 | crsrs.exe |
文件大小 | 39.5 KB (40448 bytes) |
文件类型 | exe |
1)样本检查互斥体和第一个命令行参数。
2)样本采用异步的方式进行通信和执行任务。
3)样本连接C2:
https://151.236.4[.]164:5010/get_sync_hash_table/(AES加密的计算机名_用户名)
AES key:
8802304DE46385A3672730C3539BC25B38930077AE9D9FF46E05D63409DFBCBB
4)样本C2返回的数据为json格式,样本解析其中的file_hashes字段,获取其中的哈希列表
5)样本创建一个异步任务,用于从C2下载文件。样本首先会初始化一个计时器,定时器设为34秒。
样本下载文件,保存到当前的工作路径中。并执行。
6)样本执行一个异步任务,用于监测存储设备变更情况。判断存储设备(如:u盘、硬盘等)拔插行为。如果设备出现了数量变化,就暂停计时器。
7)样本通过连接C2,获取某类存储的同步优先级(如SSD、HDD)、获取特定存储的实际同步优先级(如:C盘)、获取关注的敏感词、获取传输任务数量。
之后就是启动计时器,根据C2传来的配置进行更新,将当前的任务队列进行更新。随后就进入到窃密工作。
样本根据任务队列配置的优先级,进行路径或磁盘扫描。
扫描过程中,会将含有关键词的文件加入到文件列表中。
根据文件列表中的数量,挨个进行文件异步传输。
读取目标文件的内容
将文件内容post到C2服务器中。
· Remcos后门
该组件是一个加载器,用于释放加载Remcos后门。
MD5 | 017eb0e90e70a48e3b57f9c315e280f5 |
文件名称 | imagingdevices.exe |
文件大小 | 9.33 MB (9783680 bytes) |
文件类型 | exe |
1)样本检测是否被调试,检测互斥体。
2)样本使用rc4进行解密,密钥:
wJhZdeKG30FY70E315U2qMf0h3CvBD7N
3)解密后数据为PE文件,其中有Remcos经典字符串。
4)Remcos的C2配置信息89.31.121[.]220:443
二、归属研判
蔓灵花使用NUITKA打包的python样本攻击,最早出现在25年年底,主要针对于巴基斯坦、孟加拉等周边国家。近期监测发现,该类样本的攻击目标范围出现新的变化。
1.对本次攻击的relish_for_ketty.dll,与巴基斯坦的历史样本进行对比,二者代码执行流程非常一致,均使用了python312版本,且加载使用的python模块也完全相同。
2.本次攻击使用的Remcos远控组件,也曾出现在过往针对巴基斯坦地区的攻击活动中。
综合上述线索可判断,本次攻击归属于APT-C-08(蔓灵花)组织。
总结
APT-C-08(蔓灵花)组织是一个拥有南亚地区国家民族背景的APT组织,近年来持续对南亚地区及周边国家实施网络攻击活动,攻击目标覆盖政府、军工、高校和驻外机构等企事业单位组织,是当前具有较高威胁度的境外APT组织之一。
在这里提醒用户加强安全意识,切勿执行未知样本或点击来历不明的链接等操作。这些行为可能导致系统在没有任何防范的情况下被攻陷,从而导致机密文件和重要情报的泄漏。
附录IOC
MD5:
397591dd098f9240684f9a999e38eb12
23f5e51bf6d540553aa88c48480450a8
d286d439393bde76b734bd3406628d47
ab17051365bb75c2fd4637b0d560a312
e7c535d2ef05405870923204dd5829d6
b33c8f6a2bebe8d6a41bff851a45f35f
13209c997f62c6c6934bc3f20a6adbd8
017eb0e90e70a48e3b57f9c315e280f5
C2&URL:
89.46.236[.]152:443
https://domainnamevalidator[.]com/uploads/taskhost
213.111.185[.]78:443
https://domainregistationcheck[.]com/uploads/b1
https://151.236.4[.]164:5010
getserviceupdates[.]com
http://46.30.191[.]221/host.txt
http://46.30.191[.]221/MsEdge
http://46.30.191[.]221/taskhost
http://46.30.191[.]221/appv1.exe
http://46.30.191[.]221/input.txt
http://46.30.191[.]221/ppersis.py
http://46.30.191[.]221/pw.exe
http://46.30.191[.]221:8080/get-pip.py
http://46.30.191[.]221/cf.py
http://46.30.191[.]221/ppp.py
89.31.121[.]220:443
360高级威胁研究院
360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
360官网:www.360.cn
京公网安备 11000002000006号