事件追踪

近日，深信服安全团队关注到，国外安全研究人员Misterch0c在twitter上发现疑似某APT组织的后台，时间节点在2019年10月27日。

28日，另外一名安全研究员跟推，指出有部分中国用户被控制。

关于此次事件的重要C2服务器lmhostsvc.net，深信服安全云脑威胁情报显示，只有极少数的访问记录，访问时间在2019年10月29号，并非关键核心部门，是一些学院性质的学校，疑似是twitter曝光lmhostsvc.net后，一些在校安全研究人员在研究和访问。

样本分析

该次事件所关联的样本母体是一个.msi文件，这个病毒以钓鱼邮件附件的方式分发到被攻击的目标。病毒运行后，会弹出一个提示框提示用户等待安装，来以掩盖背后的恶意行为。

该msi会释放主程序audiodq.exe，该程序的主要功能为发送主机信息及接收C&C端下发的组件，如下图所示，regdl.exe和MSAServices.exe即为下发的后门组件。

最后，从监控到的流量可以发现，中招主机上线URL形如：

26bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3I4E0K9r3!0K6N6s2y4$3j5#2)9J5k6h3&6W2N6q4)9J5c8X3S2W2j5h3I4@1K9r3&6W2i4K6u0r3j5h3y4U0k6i4m8@1i4K6u0W2M7r3S2H3i4K6y4r3j5g2)9K6c8p5#2f1i4K6t1$3j5h3#2H3i4K6y4n7j5W2)9K6c8p5#2f1i4K6t1$3j5h3#2H3i4K6y4n7j5#2)9K6c8q4N6A6L8X3c8G2N6%4x3`. 7 Ultimate&d=G4rb3nG4rb3n53be9afe-e736-4104-8f32-fce8324c70e8365536040965860&e=

安全加固

在此，提醒广大用户，不用过度恐慌。深信服防火墙、安全感知用户、EDR用户，支持主动拦截此恶意样本相关流量，目前深信服用户，还未发现被此病毒大规模攻陷的现象。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课