文章总结: APT-C-20组织利用携带加密宏的恶意文档作为初始入口,通过COM劫持实现持久化,并借助LSB隐写技术从图片中提取shellcode。最终载荷是基于Filen.io云存储的C#远控程序,实现无文件化驻留。攻击链高度隐蔽,规避传统检测。建议用户提高对未知文档和异常进程的警惕。 综合评分: 88 文章分类: 漏洞分析,恶意软件,红队,内网渗透,威胁情报

然后基于内置原始密钥种子(“838645f4bab7458fb130c7120a500982”),通过PBKDF2算法派生AES-256密钥,然后加载目标PNG图像并转换为RGBA格式提取像素流。
接着使用LSB模式从像素流中提取Salt和IV参数,之后利用派生的AES密钥解密图像中隐藏的64字节头部数据,解析出核心载荷的提取模式、像素偏移和大小等元信息,最后根据元信息从像素流中提取核心加密载荷并解密,并最终内存执行该shellcode,其功能是内存反射加载自身携带的攻击载荷。
最终载荷信息如下,这是一个C#编写的,使用合法的云存储服务(Filen.io)作为C2服务器的远控程序。
| | | | — | — | | MD5 | d416eca59188474efa3408827578588b | | 文件类型 | Publish.exe | | 文件大小 | 68.0 KB (69,633 字节) |
Publish.exe经过高度的函数名和变量名混淆,当程序执行后,首先会初始化AES上下文,然后构造上线数据报文,数据报文格式如下:
将”GUID”(基于DomainName和Username生成)”,”Type”,”Meta”,”IV”,”EncryptedMessage”,”HMAC”这些数据进行json格式化后,调用Y9TXNKJ58A.WBX20AQDGG函数进行XOR+BASE64加密。
初始化Filen.io云存储服务API,该程序内置了多个网关节点(gateway.filen.io,gateway.filen.net),确保单节点即使出现失效、限流、宕机这些情况,恶意软件仍能通过其他节点保持通信。
将加密之后的上线报文发送给服务端。
轮询读取服务端返回的消息,
然后经过密钥协商,二次握手确认之后,接收最终需要执行的载荷,并通过内存反射加载后续的攻击载荷。
三、归属研判
通过对本次攻击事件的详细分析,综合初始载荷的执行入口设计、关键技战术要素及完整攻击链条特征判断,该样本在整体作战思路与工程实现层面与APT-C-20历史活动高度一致,具体表现如下:
1.宏代码在攻击思路与核心技术与以前方式[1]上高度一致,均通过VBA宏释放恶意DLL,并利用COM劫持实现持久化。两者都会修改注册表项,使Explorer或相关COM组件加载恶意DLL。此外,两者均具备环境检测(win32、win64)、字符串混淆、隐藏文件写入以及Shape对象隐藏数据等特征。
2.Dll被加载起来时通过检测宿主禁止是否为explorer.exe,以达到进程伪装目的。同时读取经过隐写术的png图片文件,并从中解密出shellcode执行。整个流程与文章[2]中提到的PixyNetLoader加载方式一致。
3.最终在内存中执行的载荷都属于Covenant Grunt类型,并与Filen API通信,这类攻击方式在之前报告[1]中也相同。
4.结合样本上传地址为东欧某国,并且伪装内容是东欧某国相关,符合攻击目标,因此将本次行动归属到APT-C-20(APT28)组织。
总结
本次攻击行动中APT-C-20组织采用了一套高度工业化的攻击框架:该方案以加密宏文档为入口,通过COM劫持实现隐蔽持久化;核心机制利用合法进程explorer.exe触发恶意流程攻击链,并在内存中直接执行基于Filen.io云服务构建的C#驻留木马。这种从载荷释放到执行的攻击方式,极大地规避了传统安防监测,体现了其高精度的隐蔽渗透能力。
此外本文披露的样本只是该组织攻击过程中使用的部分载荷,通过对样本进行的深入分析,希望帮助用户了解此类攻击链条及防范手段。同时也提醒用户提高安全意识,在日常工作中谨慎处理未知压缩包、邮件附件和超链接,避免因轻信而在毫无防护的情况下遭受入侵,造成敏感信息和重要数据的泄露。
附录 IOC
MD5:
77014b3e77529079f041b5b9e73a013b
b077401fe3d9642345d4c3deafa60aa5
1cbffddcb8e1e839737bbf6e50a80aaf
f10d1676b570aa4d97edb844fbb51287
c517d1f4385e0d6e8fa5932d17873eb8
d416eca59188474efa3408827578588b
参考链接
[1]https://blog.sekoia.io/apt28-operation-phantom-net-voxel/
[2]https://www.zscaler.com/blogs/security-research/apt28-leverages-cve-2026-21509-operation-neusploit
360高级威胁研究院
360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:360威胁情报中心 高级威胁研究院 高级威胁研究院《APT-C-20利用explorer劫持和LSB隐写等技术实施隐蔽攻击活动分析》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。












评论