介绍 REF5961 入侵行动

序言

2023 年 10 月 11 日更新，包含指向 BLOODALCHEMY 后门的链接。

Elastic 安全实验室持续监控针对南亚和东南亚各国政府及跨国政府组织的国家级行动。我们已在一个复杂的政府环境中观察到一批新的独特功能。此入侵行动被命名为 REF5961。

在本出版物中，我们将重点介绍恶意软件家族之间的区别，展示与已知威胁的关系，描述其功能，并分享资源以识别或缓解入侵要素。我们的目的是帮助揭露这一持续的活动，以便社区能够更好地了解此类威胁。

此研究中的样本被发现与先前报告的入侵行动 REF2924（原始报告此处，更新报告此处）共同存在。受害者是东南亚国家联盟 (ASEAN) 成员国的外交部。

Elastic 安全实验室将 REF2924 和 REF5961 入侵行动的操纵者描述为国家支持且以间谍活动为动机，原因是观察到的目标和后期利用收集活动。此外，我们跟踪的多个活动的执行流程、工具、基础设施和受害者学，以及许多第三方报告的相关性，使我们确信这是一个与中国有关联的行为者。

此入侵行动的一部分包含一个名为 BLOODALCHEMY 的新 x86 后门，其详细信息此处。

主要发现

• Elastic 安全实验室正在披露三个新的恶意软件家族
  • EAGERBEE
  • RUDEBIRD
  • DOWNTOWN
• 代码共享和网络基础设施已将此入侵行动中的恶意软件与其他活动联系起来
• 针对东盟各国政府和组织的威胁行为者正在继续开发和部署其他功能

EAGERBEE

EAGERBEE 是 Elastic 安全实验室新发现的一个后门，它使用托管在 C2 中的远程下载的 PE 文件加载其他功能。但是，它的实现和编码实践表明作者缺乏高级技能，依赖于基本技术。

在我们下面概述的研究中，我们发现了字符串格式化和与先前归因于一个被称为LuckyMouse（APT27、EmissaryPanda）的中文威胁行为者的研究一致的底层行为。

代码分析

EAGERBEE 在运行时动态构造其导入地址表 (IAT)，并使用恶意软件需要的必要 Windows API 的内存地址填充指定的数据结构。

注意：动态导入表被恶意软件作者用作反分析技术，以损害对其二进制文件的静态分析。这些技术阻止大多数静态分析软件确定导入，从而迫使分析人员通过费力的人工方法来确定恶意软件正在执行的操作。

在解析所有必需的 Windows API 后，恶意软件会使用字符串 mstoolFtip32W 创建一个互斥锁，以防止恶意软件的多个实例在同一台计算机上运行。

恶意软件会收集有关受攻击系统的关键信息

• 使用 GetComputerNameW 函数获取计算机的名称
• 恶意软件使用 GetVersionExW 函数检索 Windows 版本
• 通过 CoCreateGuid 函数生成全局唯一标识符 (GUID)
• 使用 GetNativeSystemInfo 函数获取处理器架构信息
• 从指定的注册表项 SOFTWARE\Microsoft\Windows NT\CurrentVersion 中提取 ProductName、EditionID 和 CurrentBuildNumber

样本的操作计划由字符串 0-5:00:23;6:00:23; 控制。在我们的样本中，恶意软件使用 ISO 8601 24 小时计时系统来遵守概述的计划

• 从星期日 (0) 到星期五 (5) 处于活动状态
• 00 到 23 之间的所有小时
• 星期六 (6) 00 到 23 之间的所有小时

此功能允许恶意软件在特定时间段内施加自我限制，从而展示了其适应性和控制能力。

恶意软件的 C2 地址要么是硬编码值，要么存储在名为 c:\users\public\iconcache.mui 的 XOR 加密文件中。此文件使用第一个字符作为解密密钥进行解密。

此配置文件包含以分号分隔的 IP 地址列表。格式遵循 IP:PORT 结构，其中字符 s 是可选的，并指示恶意软件打开安全套接字层 (SSL)，以便在 C2 和恶意软件之间进行加密通信。

配置可选择接受恶意软件将监听的端口号列表。特定配置模式（无论是用于反向还是正向连接）决定了此行为。

配置标志直接嵌入到两种操作模式的代码中。此标志使恶意软件能够在与 C2 服务器交互期间选择使用 SSL 加密还是纯文本通信。

在被动侦听模式下，恶意软件会在其配置中指示的端口上打开一个侦听套接字。

在活动连接模式下运行时，恶意软件会尝试从文件 c:\users\public\iconcache.mui 加载其配置。如果找不到此文件，恶意软件会回退到其硬编码配置以获取必要的 IP

作者使用嵌入在源代码中的全局变量来选择模式。重要的是，两者都包含在二进制文件中，只有其中一个会根据选择执行。在二进制文件中保留此休眠功能可能是一个错误，但它可以帮助研究人员了解该组织的技术成熟度。一般来说，恶意软件作者可以从删除可能被用来对付他们的未使用代码中获益。

注意：在 C 编程中，通过使用 #define 指令来选择性地包含或排除编译二进制文件中的代码部分来实现模块化。但是，恶意软件开发人员在这种情况下采用了一种不太明智的方法。他们使用了在编译期间设置值的静态全局变量。因此，生成的二进制文件包含已使用和未使用的函数。在运行时，二进制文件会评估这些静态全局变量的值以确定其行为。尽管功能齐全，但这既不是最佳的编程实践，也不是行业实践，因为它允许分析和检测在已识别的入侵之外使用的代码。

恶意软件能够通过检查 Software\Microsoft\windows\CurrentVersion\Internet Settings 中的 ProxyEnable 注册表项来检测主机上是否存在 HTTP 代理配置。如果此键值设置为 1，则恶意软件会提取 ProxyServer 键中的信息。

如果没有设置代理服务器，恶意软件会直接连接到 C2。

然而，如果定义了代理设置，恶意软件还会通过发送 CONNECT 请求来初始化代理，并将其数据发送到配置的目标。恶意软件作者在 HTTP 请求代码中犯了一个拼写错误；他们在二进制文件的 HTTP 请求字符串中错误地写成了 DONNECT 而不是 CONNECT。对于分析网络捕获的人员来说，这是一个可靠的独特指标。

在建立与 C2 的连接后，恶意软件会从 C2 下载可执行文件，很可能是自动推送的。它会验证每个可执行文件是否为 64 位，然后提取入口点，并修改内存保护以允许使用 VirtualProtect API 执行。

EAGERBEE 与蒙古活动的关联

在我们的 EAGERBEE 分析中，我们还发现了另外两个（之前未命名的）EAGERBEE 样本，它们参与了一项针对蒙古的定向活动。这两个 EAGERBEE 样本都分别与其他文件捆绑在一起，并使用了类似的命名约定（EAGERBEE 使用 iconcache.mui，蒙古活动中使用 iconcaches.mui）。这些样本包含多个文件和一个诱饵文档。

在分析蒙古活动样本时，我们发现了一个之前的 网页（http://president[.]mn/en/ebooksheets.php），该网页托管在蒙古基础设施下，提供一个名为 20220921_2.rar 的 RAR 文件。考虑到该文件的 VirusTotal 扫描日期和文件名，它很可能是在 2022 年 9 月创建的。

诱饵文本围绕“十亿棵树国家运动基金”的法规展开，并且近年来一直是蒙古采取的一项重要 议题。为了解决粮食安全、气候影响以及自然发生但正在加速的荒漠化问题，蒙古政府制定了一个雄心勃勃的目标，即在全国范围内种植十亿棵树。

对于此感染链，他们利用已签名的卡巴斯基应用程序来侧载一个 恶意 DLL。执行后，会从机器收集敏感数据和文件，并通过 cURL 上传到硬编码的蒙古政府 URL（www.president[.]mn/upload.php）。持久性是通过注册表运行键配置的。

注意：虽然它不包含 .gov 二级域名，但 www.president[.]mn 似乎是蒙古总统的官方域名，并且托管在政府基础设施内。滥用电子邮件被定向到 [email protected][.]mn，这看起来是合法的。 根据字符串格式和底层行为，此样本与 AVAST 关于他们称之为 DataExtractor1 的实用程序的公开 报告一致。

虽然我们没有找到其他链接样本的 WinRAR 存档，但我们找到了这个相关的 可执行文件。它的功能类似，使用托管在蒙古基础设施上的不同回调域 (https://intranet.gov[.]mn/upload.php)。

虽然尚不清楚此基础设施是如何被攻陷的，以及它被使用的程度，但冒充受信任的系统可能使威胁能够危害其他受害者并收集情报。

EAGERBEE 总结

EAGERBEE 是一个技术上简单的后门，具有正向和反向 C2 以及 SSL 加密功能，用于执行基本的系统枚举并交付后续的可执行文件以进行后期利用。C2 模式在编译时定义，并且可以通过带有硬编码回退的相关配置文件进行配置。

通过使用代码重叠分析，以及 EAGERBEE 与 VirusTotal 的其他样本捆绑在一起的事实，我们确定了一个托管在蒙古政府基础设施上的 C2 服务器。相关的诱饵文档还引用了蒙古政府的政策倡议。这使我们相信，蒙古政府或非政府组织 (NGO) 可能是 REF2924 威胁行为者的目标。

RUDEBIRD

在有争议的 REF2924 环境中，Elastic Security Labs 发现了一个通过 HTTPS 通信的轻量级 Windows 后门，其中包含执行侦察和执行代码的功能。我们将此恶意软件家族称为 RUDEBIRD。

初始执行

后门由一个带有无效签名的文件 C:\Windows\help\RVTDM.exe 执行，该文件类似于 Sysinternals 屏幕放大镜实用程序 ZoomIt。执行后不久，Elastic Defend 注册了一个进程注入警报。

该进程的父进程 (w3wp.exe) 来自 Microsoft Exchange 应用程序池。这与利用未修补的 Exchange 漏洞一致，并且之前的研究支持该假设。

横向移动

RUDEBIRD 使用 PsExec (exec.exe) 从 SYSTEM 帐户执行自身，然后从受害者 0 横向移动到另一个目标主机。尚不清楚 PsExec 是否是由威胁行为者引入环境的，还是它已经存在于环境中。

"C:\windows\help\exec.exe" /accepteula \\{victim-1} -d -s C:\windows\debug\RVTDM.EXE

代码分析

RUDEIBIRD 由 shellcode 组成，该 shellcode 通过访问线程环境块 (TEB) / 进程环境块 (PEB) 并遍历加载的模块来动态解析导入，从而找到 kernel32.dll 和 ntdll.dll 模块的基址。这些系统 DLL 包含恶意软件将要定位的关键功能，以便与 Windows 操作系统进行交互。

RUDEBIRD 使用带有乘法 (0x21) 和加法的简单 API 哈希算法，该算法可从 OALabs 公开获得。这提供了针对静态分析工具的防御，分析人员可能会使用这些工具来检查导入表并辨别二进制文件具有哪些功能。

在解析库之后，会有一个初始枚举函数，该函数收集多个信息，包括

• 主机名
• 计算机名
• 用户名
• IP 地址
• 系统架构
• 当前用户的权限

对于某些返回大量数据的函数，恶意软件使用 RtlCompressBuffer 实现压缩。恶意软件使用 HTTPS 与从其配置中加载到内存的 IP 地址通信。我们在样本的配置中观察到两个 IP 地址

• 45.90.58[.]103
• 185.195.237[.]123

奇怪的是，整个程序中有几个函数都包含对 OutputDebugStringA 的调用。此函数通常在开发阶段使用，并且用作在测试程序时将字符串发送到调试器的机制。通常，这些调试消息在开发完成后应该被删除。例如，如果在调试器内部运行，则会打印管理员检查的结果。

RUDEBIRD 使用互斥锁来维持其整个执行过程中的同步。在启动时，互斥锁被设置为 VV.0。

在初始枚举阶段之后，RUDEBIRD 作为传统的后门运行，具有以下功能

• 检索受害者的桌面目录路径
• 检索磁盘卷信息
• 执行文件/目录枚举
• 执行文件操作，例如读取/写入文件内容
• 启动新进程
• 文件/文件夹操作，例如创建新目录、移动/复制/删除/重命名文件
• 信标超时选项

DOWNTOWN（SManager/PhantomNet）

在 REF2924 环境中，我们观察到一个我们称为 DOWNTOWN 的模块化植入程序。此样本共享插件架构和代码相似性，并与公开报告的恶意软件 SManager/PhantomNet 中描述的受害者一致。虽然我们对其整体使用的影响知之甚少，但我们想分享任何可能对社区有所帮助的详细信息。

SManager/PhantomNet 已归因于 TA428（Colourful Panda、BRONZE DUDLEY），这是一个可能由中国政府赞助的威胁行为者。由于共享的插件架构、代码相似性和受害者，我们以中等程度的信心将 DOWNTOWN 归因于国家赞助的中国威胁行为者。

代码分析

对于 DOWNTOWN，我们从一个更大的框架中收集了插件。此区分是基于 ESET 先前发布的 研究 中的唯一和共享导出。其中一个导出包含 ESET 博客中先前发现的相同的拼写错误，GetPluginInfomation（注意：Infomation 缺少一个 r）。REF2924 的受害者与他们报告的受害者垂直行业和地区一致。

在我们的样本中，该插件被标记为“ExplorerManager”。

大部分代码似乎都围绕中间件功能（链表、内存管理和线程同步）展开，用于向恶意软件分配任务。

与上面的 RUDEBIRD 类似，DOWNTOWN 也包括使用 OutputDebugStringA 的调试功能。同样，一旦软件从开发转移到生产状态，通常会删除调试框架。这可能表明该模块仍在积极开发中，或者恶意软件作者缺乏操作审查。

在样本中观察到的一些功能包括

• 文件/文件夹枚举
• 磁盘枚举
• 文件操作（删除/执行/重命名/复制）

不幸的是，我们的团队没有遇到任何网络/通信功能，也没有找到与此样本相关的任何域或 IP 地址。

DOWNTOWN 总结

DOWNTOWN 是一个模块化框架的一部分，该框架显示可能与一个已建立的威胁组织有关。观察到的插件似乎为主植入程序提供中间件功能，并包含多个用于执行枚举的函数。

网络基础设施交集

在对 EAGERBEE 和 RUDEBIRD 的网络基础设施进行分析时，我们发现这两个恶意软件家族的 C2 基础设施在域托管提供商、子域名命名、注册日期和服务启用方面存在相似之处。此外，我们还能够使用 TLS 叶证书指纹来建立 EAGERBEE 和蒙古活动基础设施之间的另一个连接。

共享网络基础设施

正如 EAGERBEE 的恶意软件分析部分所指出的，有两个 IP 地址被用作 C2：185.82.217[.]164 和 195.123.245[.]79。

在这两个 IP 地址中，185.82.217[.]164 有一个注册给 paper.hosted-by-bay[.]net 的过期 TLS 证书。paper.hosted-by-bay[.]net 的子域名注册和 TLS 证书均在 2020 年 12 月 14 日注册。

正如 RUDEBIRD 的恶意软件分析部分所指出的，有两个 IP 地址被用作 C2：45.90.58[.]103 和 185.195.237[.]123。

45.90.58[.]103 用于注册子域名 news.hosted-by-bay[.]net，注册时间为 2020 年 12 月 13 日。

两个 IP 地址（一个来自 EAGERBEE，一个来自 RUDEBIRD）在 hosted-by-bay[.]net 域名下，在一天之内被分配给了子域名（paper.hosted-by-bay[.]net 和 news.hosted-by-bay[.]net）。

注意：虽然 195.123.245[.]79 (EAGERBEE) 和 185.195.237[.]123 (RUDEBIRD) 是恶意的，但我们无法识别出任何与正常 C2 节点不同的地方。它们使用了与 185.82.217[.]164 (EAGERBEE) 和 45.90.58[.]103 (RUDEBIRD) 相同的防御规避技术（如下所述）。

域名分析

在分析 hosted-by-bay[.]net 域名时，我们看到它注册到了 IP 地址 45.133.194[.]106。此 IP 地址暴露了两个 TCP 端口，一个是预期的 TLS 端口 443，另一个是 62753。

注意：端口 443 有一个用于 paypal.goodspaypal[.]com 的 Let’s Encrypt TLS 证书。此域名似乎与本研究无关，但根据其在此 IP 上的注册情况，应将其归类为恶意域名。

在端口 62753 上，有一个自签名通配符 TLS 叶证书，其指纹为 d218680140ad2c6e947bf16020c0d36d3216f6fc7370c366ebe841c02d889a59 (*.REDACTED[.]mn)。此指纹用于一个主机，shop.REDACTED[.]mn。这个有效期为 10 年的 TLS 证书注册于 2020 年 12 月 13 日。

Validity
Not Before: 2020-12-13 11:53:20
Not After: 2030-12-11 11:53:20
Subject: CN=shop.REDACTED[.]mn

.mn 是蒙古的互联网国家代码顶级域名 (ccTLD)，而 REDACTED 是蒙古的一家大型银行。在研究 REDACTED 的网络基础设施时，我们可以看到他们目前确实拥有自己的 DNS 基础设施。

shop.REDACTED[.]mn 似乎从未被注册过。此自签名 TLS 证书可能用于加密 C2 流量。虽然我们无法确认此证书是否用于 EAGERBEE 或 RUDEBIRD，但在 EAGERBEE 和 RUDEBIRD 的恶意软件代码分析中，我们确定使用 TLS 连接 IP 地址是可用的恶意软件配置选项。我们认为此域名与 EAGERBEE 和 RUDEBIRD 相关，因为其注册日期、IP 地址以及 hosted-by-bay[.]net 域名的子域名。

正如 EAGERBEE 恶意软件分析中所述，我们还发现了另外两个先前未命名的 EAGERBEE 样本，它们被用于攻击蒙古受害者，并且也利用了蒙古的 C2 基础设施。

防御规避

最后，我们看到所有 C2 IP 地址在相似的日期和时间添加和删除服务。这是一种通过限制其可用性来阻碍 C2 基础设施分析的策略。应该注意的是，服务启用和禁用的历史记录（由 Censys.io 数据库提供）旨在显示 C2 可用性方面可能存在的协调。下面的图像显示了最后一次服务更改窗口，没有更多可用的历史数据。

192.123.245[.]79 在 2023 年 9 月 22 日 07:31 启用了 TCP 端口 80，然后在 2023 年 9 月 24 日 07:42 禁用。

185.195.237[.]123 在 2023 年 9 月 22 日 03:33 启用了 TCP 端口 443，然后在 2023 年 9 月 25 日 08:08 禁用。

185.82.217[.]164 在 2023 年 9 月 22 日 08:49 启用了 TCP 端口 443，然后在 2023 年 9 月 25 日 01:02 禁用。

45.90.58[.]103 在 2023 年 9 月 22 日 04:46 启用了 TCP 端口 443，然后在 2023 年 9 月 24 日 09:57 禁用。

网络交集总结

EAGERBEE 和 RUDEBIRD 是两个恶意软件样本，它们在同一受感染的端点上，位于同一环境中。单凭这一点就建立了这两个恶意软件家族之间的强烈联系。

再加上这两个恶意软件家族都使用 C2 端点在同一域名 hosted-by-bay[.]net 上注册子域名，以及服务可用性的协调，我们有很高的把握认为，这些恶意软件和活动的操纵者来自同一个任务机构或组织伞下。

总结

EAGERBEE、RUDEBIRD 和 DOWNTOWN 后门都表现出不完整的特征，无论是在文件/服务名称中使用“Test”，忽略编译最佳实践，留下孤立的代码，还是留下一堆无关的调试语句。

然而，它们都在此环境中提供相似的战术能力。

• 本地枚举
• 持久化
• 下载/执行其他工具
• C2 选项

执行相同或相似任务的各种工具，其程度和类型各异，这使我们推测，此环境已引起 REF2924 威胁行为者组织中多个参与者的兴趣。受害者作为政府外交机构的地位使其成为该机构国内外其他目标的理想跳板。此外，很容易想象，一个国家情报机构内的多个实体可能有直接由该受害者满足的收集需求。

此环境已经出现了 REF2924 入侵集合（SIESTAGRAPH、NAPLISTENER、SOMNIRECORD 和 DOORME），以及 SHADOWPAD 和 COBALTSTRIKE 的部署。REF2924 和 REF5961 威胁行为者继续向其政府受害者的环境中部署新的恶意软件。

REF5961 和 MITRE ATT&CK

Elastic 使用 MITRE ATT&CK 框架来记录针对企业网络的常见战术、技术和程序，这些方法用于推进持续性威胁。

战术

战术代表着技术或子技术背后的原因。它是攻击者的战术目标：执行某个行动的原因。

• EAGERBEE
  • 防御规避
  • 发现
  • 命令和控制
  • 执行
• RUDEBIRD
  • 防御规避
  • 收集
  • 命令和控制
  • 发现
  • 横向移动
  • 执行
• DOWNTOWN
  • 发现
  • 收集

技术

技术代表攻击者如何通过执行某个行动来实现战术目标。

• EAGERBEE
  • 混淆的文件或信息
  • 系统信息发现
  • 通过 C2 通道进行数据外泄
  • 代理
  • 进程注入
• RUDEBIRD
  • 文件和目录发现
  • 系统信息发现
  • 命令和脚本解释器
  • 横向工具传输
  • 来自本地系统的数据
• DOWNTOWN
  • 文件和目录发现
  • 系统信息发现

恶意软件预防能力

• EAGERBEE
• RUDEBIRD
• DOWNTOWN

YARA

Elastic Security 创建了 YARA 规则来识别此活动。以下是用于识别 EAGERBEE、RUDEBIRD 和 DOWNTOWN 恶意软件的 YARA 规则

EAGERBEE

rule Windows_Trojan_EagerBee_1 {
    meta:
        author = "Elastic Security"
        creation_date = "2023-05-09"
        last_modified = "2023-06-13"
        threat_name = "Windows.Trojan.EagerBee"
        reference_sample = "09005775fc587ac7bf150c05352e59dc01008b7bf8c1d870d1cea87561aa0b06"
        license = "Elastic License v2"
        os = "windows"

    strings:
        $a1 = { C2 EB D6 0F B7 C2 48 8D 0C 80 41 8B 44 CB 14 41 2B 44 CB 0C 41 }
        $a2 = { C8 75 04 33 C0 EB 7C 48 63 41 3C 8B 94 08 88 00 00 00 48 03 D1 8B }

    condition:
        all of them
}

rule Windows_Trojan_EagerBee_2 {
    meta:
        author = "Elastic Security"
        creation_date = "2023-09-04"
        last_modified = "2023-09-20"
        threat_name = "Windows.Trojan.EagerBee"
        reference_sample = "339e4fdbccb65b0b06a1421c719300a8da844789a2016d58e8ce4227cb5dc91b"
        license = "Elastic License v2"
        os = "windows"

    strings:
        $dexor_config_file = { 48 FF C0 8D 51 FF 44 30 00 49 03 C4 49 2B D4 ?? ?? 48 8D 4F 01 48 }
        $parse_config = { 80 7C 14 20 3A ?? ?? ?? ?? ?? ?? 45 03 C4 49 03 D4 49 63 C0 48 3B C1 }
        $parse_proxy1 = { 44 88 7C 24 31 44 88 7C 24 32 48 F7 D1 C6 44 24 33 70 C6 44 24 34 3D 88 5C 24 35 48 83 F9 01 }
        $parse_proxy2 = { 33 C0 48 8D BC 24 F0 00 00 00 49 8B CE F2 AE 8B D3 48 F7 D1 48 83 E9 01 48 8B F9 }

    condition:
        2 of them
}

RUDEBIRD

rule Windows_Trojan_RudeBird {
    meta:
        author = "Elastic Security"
        creation_date = "2023-05-09"
        last_modified = "2023-06-13"
        threat_name = "Windows.Trojan.RudeBird"
        license = "Elastic License v2"
        os = "windows"

  strings:
        $a1 = { 40 53 48 83 EC 20 48 8B D9 B9 D8 00 00 00 E8 FD C1 FF FF 48 8B C8 33 C0 48 85 C9 74 05 E8 3A F2 }

    condition:
        all of them
}

DOWNTOWN

rule Windows_Trojan_DownTown_1 {
    meta:
        author = "Elastic Security"
        creation_date = "2023-05-10"
        last_modified = "2023-06-13"
        threat_name = "Windows.Trojan.DownTown"
        license = "Elastic License v2"
        os = "windows"

    strings:
        $a1 = "SendFileBuffer error -1 !!!" fullword
        $a2 = "ScheduledDownloadTasks CODE_FILE_VIEW " fullword
        $a3 = "ExplorerManagerC.dll" fullword

    condition:
        3 of them
}

rule Windows_Trojan_DownTown_2 {
    meta:
        author = "Elastic Security"
        creation_date = "2023-08-23"
        last_modified = "2023-09-20"
        threat_name = "Windows.Trojan.DownTown"
        license = "Elastic License v2"
        os = "windows"

    strings:
        $a1 = "DeletePluginObject"
        $a2 = "GetPluginInfomation"
        $a3 = "GetPluginObject"
        $a4 = "GetRegisterCode"

    condition:
        all of them
}

观察结果

所有可观察项也可在 下载 中以 ECS 和 STIX 格式提供。

以下可观察项在本研究中进行了讨论。

参考文献

以下内容在上述研究中被引用

• https://elastic.ac.cn/security-labs/siestagraph-new-implant-uncovered-in-asean-member-foreign-ministry
• https://elastic.ac.cn/security-labs/update-to-the-REF2924-intrusion-set-and-related-campaigns
• https://thediplomat.com/2022/06/mongolias-1-billion-tree-movement/
• https://decoded.avast.io/luigicamastra/apt-group-targeting-governmental-agencies-in-east-asia/
• https://github.com/OALabs/hashdb/blob/main/algorithms/mult21_add.py
• https://malpedia.caad.fkie.fraunhofer.de/details/win.smanager
• https://malpedia.caad.fkie.fraunhofer.de/actor/ta428
• https://www.welivesecurity.com/2020/12/17/operation-signsight-supply-chain-attack-southeast-asia/