Hvv 日记 威胁情报 8.5 （IP、样本）

恶意IP

14.29.234.64 漏洞利用

118.25.94.114 漏洞利用

139.199.160.137 漏洞利用

129.211.186.91 漏洞利用

175.27.157.56 漏洞利用

175.27.154.109 漏洞利用

47.76.121.14 漏洞利用

39.104.63.28 漏洞利用

恶意样本

样本主题：**-****大学-本科-机械专业-个人简历及其他材料.exeSHA256:0a5e6d421c81553ffdfc0eca166cd3c08b36ee919b2a730a96bea4edb66e5f82MD5: c38e7ecc2313c104aa11cb312687bed9恶意软件：175.178.3.223:80分析结论：木马加载器

样本主题：关于机场场务优化调整的通知-**机场.word.exeSHA256:f457bf53796b1506baac87bbf63b74d1b122cf1f2a9aaf5a0b93bc54c242ef3bMD5: 1941b02a1a2403dce0200748cb0bed37C2：106.53.44.71:8113分析结论：CobaltStrike 木马

样本主题：全球薪酬支付服务业务合作需求材料.rarSHA256:d7c9879fd6b915023c3f4df863d799a53a837ba8e34d6af7bd0b34bcbbbb3e6bMD5: f6563771ae1412eddd2d3424832bfbb1C2：47.108.130.170:8065分析结论：CobaltStrike 木马

样本主题：**壁纸.exeSHA256:a9d86eb59220d766d476433362f95688a1eeb2d31bc4ccf8945951259049638bMD5: 677c4f008488791f8bc164a477b6e50aC2：43.142.38.197:9911分析结论：CobaltStrike 木马

样本主题：木马 yuexiu.rarSHA256:2045da23603e642b6d4445db6b88612d64e1c7d00ab63eff008551e8b246e277MD5: f5004d76dd2638b641ce6b9b3e20fb90恶意软件：yuntechmirror.oss-cn-hangzhou.aliyuncs.com相关 IP 和域名：123youke.com、www.turingmaker.com、118.212.144.100攻击手法：域前置分析结论：CobaltStrike 木马

77c2fa0c44451028ccdbe29e11f0ae26**专刊(九)投稿材料发送给**.rar94982bba8f87f6ecac7b4eb6e8ab2440******治理委员邀请函及会议议程-0820.rar202624d6751c2c7508c1c482fa428210**运维审计系统客户端.zipf3312f78b85d9edbc4e19dc61e17fe73杭州*****事务所——工作需求问题汇总.exe90b449cfbf8639ea56a08cc22ac51347病毒样本.exe27e28278095f29a8abc2e0b8e941e40d异常登录处理指引.zip2694553347f23e250ed70a8c23096d8fDS_Store.exe971c58d091044861571f2026ea53e6b5关于审议《*****公司安全风险分级管控和隐患排查治理双重预防机制管理规定(2024年修订)》的议案.zip.zip708191dee7ca97f21100fd264fd14775采购清单.7z8ce3642ece6e931cc907d432967d1148刘梦+**大学+新媒体与传播学专业.zip25ee1eed790385a3a53ccc252b48fb4李晓刚-中国货币网信息自主披露平台用户申请表.exe955841a4d2315422818b47aec6ce51fb50026D81-****-AA4-**数据无法使用.rar

一、基本信息攻击者 IP：121.196.200.91。二、活跃时间最近活跃时间为 2024 年 8 月 1 日，且仅在这一天有活动迹象，时间跨度较短，集中在这一天的特定时段内，具体时间暂未明确。三、地理位置其所处地理位置位于中国的浙江省杭州市。杭州是一座充满活力且科技产业发达的城市，拥有众多的互联网企业和信息技术机构，该攻击者在此地进行网络活动，可能与当地的网络环境或特定目标有关。四、活跃行业活跃行业为政府领域。政府部门通常拥有大量的敏感信息和重要数据，成为攻击者的潜在目标，其针对政府行业的活动可能存在一定的目的和意图。五、能力评价从攻击量来看，相对较少，没有大规模的攻击行动，这可能表明其行动较为谨慎或资源有限。攻击目标表现出专一性，专注于特定的目标，可能是经过精心挑选或有针对性的选择。从活跃时间判断是近期才开始活跃的攻击者，疑似属于红队。红队通常具备一定的技术能力和策略，进行模拟攻击或安全测试等活动，但也不能排除恶意攻击的可能性。六、攻击利用特征攻击者使用了 Alphalog 工具进行 log4j2 渗透测试。log4j2 是一个广泛使用的日志框架，存在一些安全漏洞，攻击者利用这一工具和漏洞进行攻击。其中还涉及到公共隐蔽链路 callback.red，这种隐蔽链路可能用于隐藏攻击来源或进行数据传输，增加了攻击的复杂性和隐蔽性。七、近期攻击行为近期主要有目录扫描和 log4j2 相关的攻击行为。目录扫描是一种常见的网络探测手段，用于寻找目标系统中的敏感信息或漏洞入口。log4j2 攻击则是利用 log4j2 组件的漏洞进行渗透，可能导致系统被入侵、数据泄露或其他安全问题。

一、基本信息攻击者的 IP 地址为 101.132.137.180，这是一个在网络空间中用于标识其来源的关键数字线索。二、活跃时间最近的活跃时间跨度从 2024 年 7 月 26 日开始，一直持续到 2024 年 8 月 5 日。在这长达 11 天的时间里，攻击者持续在网络中保持着活跃状态，可能不断寻找着可乘之机，在不同的时间点进行着各种网络攻击活动。这期间，可能会选择在网络流量相对较低的时段，如深夜或者凌晨，以降低被发现的概率，悄然实施其攻击计划。三、地理位置该攻击者所处的地理位置位于中国的上海市。上海作为国际化大都市，拥有着高度发达的信息技术和网络基础设施，同时也是众多重要企业和机构的聚集地。这里汇聚了能源、交通、银行等关键行业的大型企业，为攻击者提供了丰富的潜在目标。其在上海的地理位置也可能使其更容易获取到本地的网络资源和信息，从而助力其攻击行动。四、活跃行业活跃于能源、交通、银行等多个关键行业。这些行业对于国家的经济运行和社会稳定至关重要，并且通常拥有大量的敏感信息和关键数据。在能源行业，攻击者的活动可能会影响能源的生产、传输和供应安全。例如，可能试图获取能源企业的生产调度信息或者能源储备数据，从而对能源市场造成潜在的冲击。交通行业方面，交通系统的正常运行依赖于稳定的网络和数据支持。攻击者的介入可能会导致交通信号系统紊乱、航班或列车调度出现问题，给公众出行带来极大的不便和安全隐患。银行行业更是存储着大量的金融资产和客户信息，一旦遭受攻击，可能会导致客户资金受损、金融市场动荡等严重后果。五、能力评价在专项期间，攻击者启用了基础设施来支持其攻击活动。这些基础设施可能包括特定的服务器、网络设备或者软件工具，为其攻击行动提供了必要的技术支持和资源保障。攻击具有明显的针对性，不是随意的攻击行为，而是经过精心策划和挑选目标。例如，疑似成功入侵了某交通投资集团等目标，这显示出其对目标的深入了解和攻击策略的有效性。能够成功入侵重要的交通投资集团，表明攻击者具有较强的攻击能力，能够突破目标的网络防御体系，获取到关键信息或者控制系统。有迹象显示疑似与某安全厂商存在关联，这种关联可能是技术上的依赖、信息共享，或者是存在某种合作关系，但具体的关联性质还需要进一步的调查和分析。六、近期攻击行为近期主要进行了信息探测和漏洞扫描等攻击行为。信息探测是攻击的前期准备阶段，攻击者通过各种手段收集目标的网络结构、系统配置、用户信息等，为后续的攻击行动提供情报支持。漏洞扫描则是为了寻找目标系统中存在的安全漏洞，这些漏洞可能成为攻击者入侵的入口。攻击者利用专业的漏洞扫描工具，对目标系统进行全面的扫描，试图发现可以利用的弱点，然后针对性地制定攻击策略，实施进一步的攻击。

一、基本信息攻击者的 IP 地址为 36.138.173.47，这一数字组合如同攻击者在网络世界的独特“名片”，是追踪和识别其活动的重要线索。二、活跃时间最近活跃时间从 2024 年 7 月 25 日拉开帷幕，一直持续到 2024 年 8 月 2 日。在这长达九天的时间跨度里，攻击者在网络空间中持续活跃，仿佛一个隐藏在暗处的幽灵。在这段时间里，可能每天会选择不同的时间段来展开攻击行动，比如在人们工作相对松懈的夜晚或者清晨时分，利用网络监管的薄弱点来实施攻击，以增加攻击成功的几率。7 月 25 日这天，或许攻击者就已经开始悄悄地进行信息收集和目标定位，为后续的大规模攻击行动做铺垫。随着时间的推移，到了 7 月 30 日左右，攻击活动可能逐渐进入白热化阶段，漏洞扫描的频率和强度都有所增加。而在 8 月 1 日至 2 日，攻击依然在持续，丝毫没有减弱的迹象。三、地理位置其地理位置位于中国的上海市。上海作为国际化大都市和中国的经济中心，拥有高度发达的信息技术产业和复杂的网络环境。这里不仅有众多的企业总部和金融机构，还有关键的基础设施。攻击者身处这样一个信息技术高度发达的城市，可能更容易获取到先进的技术资源和信息，为其攻击行动提供便利。上海的网络基础设施完善，网络流量巨大，攻击者可以借助这一优势隐藏自己的行踪，使追踪和防范变得更加困难。同时，上海的电力建设和银行等行业在全国乃至全球都具有重要地位，拥有大量的敏感信息和关键数据，这也成为了攻击者眼中的“肥肉”。四、活跃行业活跃于电力建设和银行这两个至关重要的行业。电力建设行业关乎国家的能源安全和社会的正常运转，一旦遭受攻击，可能导致电力供应中断、电网系统瘫痪等严重后果。例如，攻击者对电力建设相关单位的攻击可能会影响到居民的日常生活、工业生产的正常进行等。银行行业更是存储着海量的金融资产和客户隐私信息。攻击者的介入可能会引发客户资金被盗、金融交易数据泄露等问题，对金融市场的稳定造成巨大冲击。在电力建设领域，攻击者表现出了极强的针对性，似乎对该行业的网络架构、系统弱点了如指掌，能够精准地发起攻击。五、能力评价在专项期间，攻击者启用了特定的基础设施来支持其攻击活动。这些基础设施可能包括高性能的服务器、专业的网络设备以及定制化的攻击软件。例如，可能拥有自己的代理服务器网络，用于隐藏真实的 IP 地址和攻击来源，增加追踪的难度。对电力建设相关单位具有令人瞩目的极强针对性，这表明攻击者可能事先进行了深入的行业调研和目标分析。他们可能通过各种渠道收集了电力建设单位的信息，包括组织结构、网络拓扑、系统配置等，然后制定出专门针对这些单位的攻击策略。对相关单位的大量子域名进行漏洞扫描攻击，这显示了攻击者的耐心和细致。子域名往往是企业网络系统的重要组成部分，可能存在一些被忽视的安全漏洞。攻击者通过大规模的漏洞扫描，试图找到这些薄弱点，然后加以利用。例如，他们可能使用自动化的漏洞扫描工具，对成千上万个子域名进行逐一探测，不放过任何一个可能的突破口。六、攻击利用特征攻击利用特征中包含“y1bs.shop”。这个看似普通的字符串可能是攻击者用来进行攻击的关键线索。它可能是一个恶意网站的域名、一个特定的攻击代码标识，或者是与攻击者组织相关的一个代号。例如，“y1bs.shop”可能是攻击者用来分发恶意软件或钓鱼链接的网站，通过诱导受害者访问该网站，从而植入恶意代码或窃取敏感信息。

一、基本信息攻击者的 IP 地址为 36.138.173.47，这一数字组合如同攻击者在网络世界的独特“名片”，是追踪和识别其活动的重要线索。二、活跃时间最近活跃时间从 2024 年 7 月 25 日拉开帷幕，一直持续到 2024 年 8 月 2 日。在这长达九天的时间跨度里，攻击者在网络空间中持续活跃，仿佛一个隐藏在暗处的幽灵。在这段时间里，可能每天会选择不同的时间段来展开攻击行动，比如在人们工作相对松懈的夜晚或者清晨时分，利用网络监管的薄弱点来实施攻击，以增加攻击成功的几率。7 月 25 日这天，或许攻击者就已经开始悄悄地进行信息收集和目标定位，为后续的大规模攻击行动做铺垫。随着时间的推移，到了 7 月 30 日左右，攻击活动可能逐渐进入白热化阶段，漏洞扫描的频率和强度都有所增加。而在 8 月 1 日至 2 日，攻击依然在持续，丝毫没有减弱的迹象。三、地理位置其地理位置位于中国的上海市。上海作为国际化大都市和中国的经济中心，拥有高度发达的信息技术产业和复杂的网络环境。这里不仅有众多的企业总部和金融机构，还有关键的基础设施。攻击者身处这样一个信息技术高度发达的城市，可能更容易获取到先进的技术资源和信息，为其攻击行动提供便利。上海的网络基础设施完善，网络流量巨大，攻击者可以借助这一优势隐藏自己的行踪，使追踪和防范变得更加困难。同时，上海的电力建设和银行等行业在全国乃至全球都具有重要地位，拥有大量的敏感信息和关键数据，这也成为了攻击者眼中的“肥肉”。四、活跃行业活跃于电力建设和银行这两个至关重要的行业。电力建设行业关乎国家的能源安全和社会的正常运转，一旦遭受攻击，可能导致电力供应中断、电网系统瘫痪等严重后果。例如，攻击者对电力建设相关单位的攻击可能会影响到居民的日常生活、工业生产的正常进行等。银行行业更是存储着海量的金融资产和客户隐私信息。攻击者的介入可能会引发客户资金被盗、金融交易数据泄露等问题，对金融市场的稳定造成巨大冲击。在电力建设领域，攻击者表现出了极强的针对性，似乎对该行业的网络架构、系统弱点了如指掌，能够精准地发起攻击。五、能力评价在专项期间，攻击者启用了特定的基础设施来支持其攻击活动。这些基础设施可能包括高性能的服务器、专业的网络设备以及定制化的攻击软件。例如，可能拥有自己的代理服务器网络，用于隐藏真实的 IP 地址和攻击来源，增加追踪的难度。对电力建设相关单位具有令人瞩目的极强针对性，这表明攻击者可能事先进行了深入的行业调研和目标分析。他们可能通过各种渠道收集了电力建设单位的信息，包括组织结构、网络拓扑、系统配置等，然后制定出专门针对这些单位的攻击策略。对相关单位的大量子域名进行漏洞扫描攻击，这显示了攻击者的耐心和细致。子域名往往是企业网络系统的重要组成部分，可能存在一些被忽视的安全漏洞。攻击者通过大规模的漏洞扫描，试图找到这些薄弱点，然后加以利用。例如，他们可能使用自动化的漏洞扫描工具，对成千上万个子域名进行逐一探测，不放过任何一个可能的突破口。六、攻击利用特征攻击利用特征中包含“y1bs.shop”。这个看似普通的字符串可能是攻击者用来进行攻击的关键线索。它可能是一个恶意网站的域名、一个特定的攻击代码标识，或者是与攻击者组织相关的一个代号。例如，“y1bs.shop”可能是攻击者用来分发恶意软件或钓鱼链接的网站，通过诱导受害者访问该网站，从而植入恶意代码或窃取敏感信息。

样本主题：关于机场场务优化调整的通知-**机场.word.exeSHA256:f457bf53796b1506baac87bbf63b74d1b122cf1f2a9aaf5a0b93bc54c242ef3bMD5: 1941b02a1a2403dce0200748cb0bed37C2：106.53.44.71:8113分析结论：CobaltStrike 木马0

样本主题：关于机场场务优化调整的通知-**机场.word.exeSHA256:f457bf53796b1506baac87bbf63b74d1b122cf1f2a9aaf5a0b93bc54c242ef3bMD5: 1941b02a1a2403dce0200748cb0bed37C2：106.53.44.71:8113分析结论：CobaltStrike 木马1

样本主题：关于机场场务优化调整的通知-**机场.word.exeSHA256:f457bf53796b1506baac87bbf63b74d1b122cf1f2a9aaf5a0b93bc54c242ef3bMD5: 1941b02a1a2403dce0200748cb0bed37C2：106.53.44.71:8113分析结论：CobaltStrike 木马2