针对中文用户分发“军事主题”钓鱼文档描述
2026年3月12日,一项针对讲中文用户的复杂攻击活动被发现。该活动利用恶意ZIP压缩包分发军事主题的诱饵文档。攻击者首先利用被植入木马的SumatraPDF二进制文件,在受害者系统上部署AdaptixC2 Beacon和Visual Studio Code。该shellcode加载器与之前与TAOTH攻击活动相关的TOSHIS加载器高度相似。攻击者利用GitHub搭建了自定义AdaptixC2 Beacon监听器,作为其命令与控制(C2)基础设施。此外,该部署服务器还托管了EntryShell后门和CobaltStrike Beacon,这两个后门此前均与该威胁组织有关。此次攻击活动的基础设施包括多个被入侵的域名和IP地址,用于恶意软件分发和C2通信。
潜在影响
该攻击活动使攻击者能够通过AdaptixC2 Beacon、EntryShell 后门恶意软件和CobaltStrike Beacon,在受害者系统上建立持久的命令与控制访问权限。这种访问权限可助长进一步的恶意活动,例如数据窃取、横向移动和系统入侵。使用被植入木马的合法应用程序(SumatraPDF)以及部署 Visual Studio Code 可能有助于攻击者规避检测并保持持久访问权限。针对讲中文的用户表明,攻击者目标明确,意图攻击特定地区的受害者。
入侵指标(IOC)
Hash
| 2d7cc3646c287d6355def362916c6d26 |
| 3238d2f6b9ea9825eb61ae5e80e7365c |
| 67fcf5c21474d314aa0b27b0ce8befb2 |
| 71fa755b6ba012e1713c9101c7329f8d |
| 89daa54fada8798c5f4e21738c8ea0b4 |
| 9a69b717ec4e8a35ae595aa6762d3c27 |
| c620b4671a5715eec0e9f3b93e6532ba |
| e2dc48ef24da000b8fc1354fa31ca9ae |
| 19e3c4df728e3e657cb9496cd4aaf69648470b63 |
| 2c65433696037f4ce0f8c9a1d78bdd6835c1b94d |
| 343be0f2077901ea5b5b9fb97d97892ac1a907e6 |
| 401cc16d79d94c32da3f66df21d66ffd71603c14 |
| 6c68dc2e33780e07596c3c06aa819ea460b3d125 |
| adb47733c224fc8c0f7edc61becb578e560435ab |
| bd618c9e1e10891fe666839650fa406833d70afd |
| c2051635ccfdc0b48c260e7ceeee3f96bf026fea |
| 3936f522f187f8f67dda3dc88abfd170f6ba873af81fc31bbf1fdbcad1b2a7fb |
| 3c29c72a59133dd9eb23953211129fd8275a11b91a3b8dddb3c6e502b6b63edb |
| 47c7ce0e3816647b23bb180725c7233e505f61c35e7776d47fd448009e887857 |
| 6eaea92394e115cd6d5bab9ae1c6d088806229aae320e6c519c2d2210dbc94fe |
| 7a95ce0b5f201d9880a6844a1db69aac7d1a0bf1c88f85989264caf6c82c6001 |
| a4f2131eb497afe5f78d8d6e534df2b8d75c5b9b565c3ec17a323afe5355da26 |
| aeec65bac035789073b567753284b64ce0b95bbae62cf79e1479714238af0eb7 |
| b92a3a1cf5786b6e08643483387b77640cd44f84df1169dd00efde7af46b5714 |
IP
Url
| https://47.76.236.58:4430/Divide/developement/GIZWQVCLF |
| https://47.76.236.58:4430/Originate/contacts/CX4YJ5JI7RZ |
| https://stg.lsmartv.com:8443/Divide/developement/GIZWQVCLF |
| https://stg.lsmartv.com:8443/Originate/contacts/CX4YJ5JI7RZ |
域名