【天穹】HVV专题:典型HVV样本总结与IOC收集(第三期)
/ / 点击 / 阅读耗时 17 分钟一、概述
在网络安全攻防演练第二周临近结束之际,天穹团队聚焦关键样本深度剖析,进一步整合多源检测结果与攻击链关联分析技术,提炼出以下核心观测结论:
攻击流量延续增长态势
- 平台捕获的恶意样本数量持续保持高位增长,攻击流量呈现显著的线性上升趋势。
攻击技法呈现多维进化特征
- “白利用”(White + Black)攻击模式应用率显著提升,针对合法程序的二进制逆向开发投入持续加大;
- 多语言协同攻击体系日趋成熟,形成脚本语言与编译型语言的复合攻击矩阵;
- 沙箱逃逸技术持续突破,恶意样本对虚拟化环境的检测识别能力实现代际升级。
攻击目标呈现精准化行业聚焦
- 金融、能源、政务三大战略领域成为核心攻击标靶,攻击行为展现出明显的行业定制化特征。
天穹沙箱温馨提示: 若您收到可疑链接或文件,切勿直接点击或运行!可优先投递至奇安信天穹沙箱进行风险鉴定,通过专业的动态行为检测与威胁情报匹配,精准识别潜在安全风险。使用天穹沙箱过程中,如您遇到任何问题(如样本投递失败、分析结果存疑等),可随时联系我们,我们将第一时间为您提供技术支持与解答。
二、典型样本分析
1、压缩包
1.1 样本一
样本名:7月客户拓展餐费报销.zip
SHA1:fe0987b533968a93349bec9d9b9049b0680503bd
文件类型:ZIP
样本家族:CobaltStrike
C2:
1
http[:]//159.75.189.195:8088/omp/api/get_page_config
报告链接:天穹沙箱分析报告
描述:该恶意样本呈现出典型的 HVV 定向攻击特征,与上期分析的第一例典型样本存在明确技术同源性,完全继承其初始化加载阶段的技术框架,但防御规避机制已实现关键性升级,标志着当前 HVV 攻防博弈正进入深度演进阶段。值得重点关注的是,该样本构建了新型对抗技术体系:
- 加密载荷架构保持技术延续性,但 C2 通信机制完成战略调整,通信端口由 8088 迁移至 8087,实现流量特征差异化。
- 核心载荷模块 360update.exe 系基于 360 安全产品组件 360netmgr64.exe 实施深度技术重构,将安全组件改造为攻击载荷容器,形成“合法外壳 + 恶意内核”的混合架构。
威胁配置信息
图1 CobaltStrike威胁配置信息
1.2 样本二
样本名:基地流动机械库门头安全隐患整治方案.zip
SHA1:7517585f6815fab9fe45778e42e8cafcb4dedba8
文件类型:ZIP
样本家族:CobaltStrike
C2:
1
2
3
4
5伪装URL:
https[:]//oss-cn-shenzhen-internal.aliyuncs.com/connecttest.txt
真实URL:
https[:]//36.99.86.14/connecttest.txt报告链接:天穹沙箱分析报告
描述:该钓鱼样本的构造方式具有典型的攻击特征,其技术实现路径为:攻击者采用压缩包载体封装 PE 可执行文件,通过伪造具有迷惑性的文件名实施社会工程学欺骗,最终构建出一条基于文件伪装技术的简易攻击链,具体攻击链设计如下:
白名单进程劫持:基于 javaw.exe 合法程序进行二进制定制开发,通过篡改
__security_init_cookie入口点函数实现控制流劫持。劫持代码动态解密执行 Shellcode,规避静态特征检测。环境检测 :执行前验证用户目录结构,检查
%HOMEPATH%\Downloads及桌面目录的子目录数量是否超过 1 个,环境不匹配则自动终止,体现攻击者对目标系统的针对性适配。隐蔽载荷部署:自我复制到
%APPDATA%\update\check.exe并解密下一代载荷至代码段区域,二代载荷与初始样本架构同源,通过差异化变量初始化实现逻辑分支控制,如图 2 和图 3 所示。持久化控制:释放 check.lnk 快捷方式至系统启动目录,构建重启后自动激活的持久化通道。
1.3 样本三
样本名:发票2025060761735425.zip
SHA1:9d7c57abec73861a700bb2d5fea4f89939c196a6
文件类型:ZIP
样本家族:CobaltStrike
C2:
1
2
3
4
5伪装URL:
https[:]//linshiroot.com/statics/web_v5/images/img04.png
真实URL:
https[:]//220.181.167.250/statics/web_v5/images/img04.png报告链接:天穹沙箱分析报告
描述:该攻击样本在技术演进层面呈现出显著的迭代特征,相较于传统 HVV 攻击框架实现了多维度的能力升级:
复合型攻击架构:采用 LNK 快捷方式与 Python 脚本的跨语言协作机制,构建出具备动态规避能力的混合攻击载荷;通过脚本语言与二进制执行的深度融合,有效突破基于单一语言特征的静态检测规则。
高仿真载荷投送:释放经过双重伪装的 “wps.pdf” 文档作为社会工程学诱饵,利用知名办公软件的信任背书降低用户警惕性。
全链路隐蔽通信:网络通信模块采用 HOST 头域伪装技术,模拟合法域名的流量特征实现网络层隐身。
威胁配置信息
1.4 样本四
样本名:XX云VPN客户端网关无法设置报错截图等异常情况说明.zip
SHA1:7f1b13fb793812c085c03d6d4b2e86a46136973f
文件类型:ZIP
样本家族:CobaltStrike
C2:
1
https[:]//106.54.165.184/jquery-3.3.2.N2cQ4mXdZ4nIo9XIhttp.min.js
报告链接:天穹沙箱分析报告
描述:该钓鱼样本采用多层伪装技术构建攻击链路,其技术实现路径如下:
- 初始载荷伪装:通过在文件名末尾追加 Unicode 不可见字符(如 U+200B 零宽空格)实现后缀隐藏,使“恶意程序.exe” 在文件管理器中显示为“恶意程序”。
- 白名单程序利用:针对 Windows 10 系统预装的 WordPad(write.exe)实施 DLL 劫持攻击,恶意构造 edputil.dll 文件,利用应用程序加载依赖库时的路径搜索顺序缺陷,实现非授权代码执行。
- 社会工程学迷惑:同步释放伪造的“XX云VPN客户端网关无法设置报错截图等异常情况说明.docx”文档,文件名模拟真实业务场景(如“XX云VPN网关配置异常说明.docx”)。
2、其他类型
2.1 样本一
样本名:XX链管理中心IT需求收集.2di489nfi293kn.fids5.vfdi4vd.docx.msi.virus.oft.msi
SHA1:4a0655950e3412ff7745714325c8cf5ff8df143b
文件类型:MSI
样本家族:无
C2:
1
2https[:]//114.117.252.210:9090/api/v2/updates/core/Xk9mP-7WqE2nR5tY
https[:]//114.117.252.210:9090/resources/libs/framework/Hn6gS-4BvL8uQ3zM报告链接:天穹沙箱分析报告
描述:该攻击样本采用 MSI 安装包作为初始攻击载体,通过 Windows 系统原生安装服务实现高可信度投递。解压后释放经过混淆处理的 PowerShell 脚本,该脚本通过加密通道与
114.117.252.210:9090建立通信,尝试获取 Assist.exe 主执行模块及 UpdateAssist.dll 动态链接库。因114.117.252.210:9090服务已下线,导致后续行为无法继续触发。
2.2 样本二
样本名:安装setup.exe
SHA1:53a2f4b4a542b6e78764c35d5faadb1a72321f70
文件类型:EXE
样本家族:银狐
C2:
1
2a.zqycftmex.cn:7777
a.zqycftmex.cn:77777报告链接:天穹沙箱分析报告
描述:银狐组织在 HVV 行动期间投放的新型攻击变种样本,其攻击执行链延续了既往手法特征;在持久化机制上,通过伪装为 VMware 相关名称的启动项实现系统长期驻留。
威胁配置信息
三、IOC 福利
HVV IOC
| 样本名 | 《信访申请表》_-_XXXXXXX科技有限公司.zip |
| MD5 | b03ae48680944112d2296500c0dd70ca |
| C2 | 1317148038-42nowyv1ug.ap-beijing.tencentscf.com |
| 样本名 | XXXX国际XX航空XXXX会2025年挂职员工资料补充.exe |
| MD5 | fdfd3ca8f3c840d728292e78db8b77a8 |
| C2 | voknyq-vyrach-8000.app.cloudstudio.work |
| 样本名 | 123.zip |
| MD5 | 9f5e59a7f11bc809ff9549a49ffa91fd |
| C2 | https[:]//43.243.235.24/dist/css/bootstrap.min.css |
| 样本名 | 57b75bc1f163a72c6e6aaa2325e32d81.exe |
| MD5 | 57b75bc1f163a72c6e6aaa2325e32d81 |
| C2 | ys12-1314767650.cos.ap-nanjing.myqcloud.com |
| 样本名 | sample.zip |
| MD5 | 2854fda6e935a80b3bba2bd87e240ffc |
| C2 | https[:]//1.94.142.106/Crush/membership/NM4EACHL |
| 样本名 | XXXXXX发票2025071061735425.rar |
| MD5 | b77765dddcc604d2e5df338130adad7f |
| C2 | https[:]//111.13.181.67/statics/web_v5/images/img04.png |
| 样本名 | XXXXX科技采购服务器新需求及会议问题记录-待反馈.exe |
| MD5 | 2169d60381108d02103f5c93bb666c18 |
| C2 | https[:]//47.117.180.179:8443/openapi/v1?type=Pp8E2iKfhV8SAoZz-re94nzwyUmozhPHEQjDE28sgsDKHuxv-SVvo3HIkvM-NIE_wLQs1NbiUHgFkpKOUSb240fl32SuMUYn9wFkZj3pG-7ilus7x94ZDLBmBsIwnqliRNgelH1EQueQAd5mA5rcH0wkoJ99tpgizLhlzNrtaRc_QAc2&ie=utf-8 |
| 样本名 | XX航空XX商城XX智能电饭煲损坏投诉-2025070801751943917519439017519.exe |
| MD5 | 4b2390d0b80000f142adbdcb0e5edb98 |
| C2 | 1317148038-0fwmj32no0.ap-beijing.tencentscf.com |
银狐 IOC
| 样本名 | 内部稽查违规人员名单.zip |
| MD5 | 8208d68bbd0c9c5f5d9ff43ff00b0e65 |
| C2 | 54.46.39.110 |
| 样本名 | 2025.06.zip |
| MD5 | 7eeb7919d45726e81cbeae984ba57dd6 |
| C2 | wz.kwvtgsiqa.cn:7777 |
| 样本名 | aii.968341004.exe |
| MD5 | dd3eee588799aca796469f5a9e0eaf31 |
| C2 | https[:]//7ygou8.oss-cn-shenzhen.aliyuncs.com |
| 样本名 | 154e5d53c9ebe2eb0f0c4a7af3ef45aab00ddfbe.zip |
| MD5 | 47e1d4eeaa6219763dbfaeb5eb8394c6 |
| C2 | 43.198.140.40 |
| 样本名 | X2025内部稽查违规人员名单.zip |
| MD5 | b8ddde28ba1d4c8e71ef6a83c93fc080 |
| C2 | 54.46.39.110 |
| 样本名 | sample.exe.gz |
| MD5 | 91ead164f6c0c28235b3c9e9cf6f565e |
| C2 | 154.82.92.181 |
| 样本名 | 2025年06月份三违处罚记录1名单.zip |
| MD5 | 57c1f556b16cacf882d30bd4fc2b2e0a |
| C2 | 54.46.9.213 |
四、技术支持与反馈
星图实验室深耕沙箱分析技术多年,致力于让沙箱更好用、更智能。做地表最强的动态分析沙箱,为每个样本分析人员提供便捷易用的分析工具,始终是我们追求的目标。各位同学在使用过程中有任何问题,欢迎联系我们。
