追踪UNG0002、Silent Lynx和DragonClone

引言

在VirusTotal最棒的部分之一就是看到我们的社区如何使用我们的工具来追踪威胁。我们很高兴开始一个新的博客系列，分享来自我们客户的成功故事。

VT在分析师狩猎中的作用

对于威胁分析师来说，狩猎通常始于一个看似孤立的线索。VT不仅仅是一个检查文件是否恶意的工具，它是一个庞大的、活跃的数字工件数据库，允许分析师从一个危害指标转向另一个，揭示隐藏的联系并绘制出整个攻击活动。

Seqrite - 成功故事

我们SEQRITE APT团队使用客户遥测和多个其他数据语料库执行大量活动，包括威胁狩猎和威胁情报。毫无疑问，除了我们的客户遥测数据外，VT语料库在很大程度上帮助我们将研究转化为成果。

UNG0002

SEQRITE APT团队一直在追踪一个东南亚威胁实体，命名为UNG0002，使用某些行为特征。VT语料库帮助我们通过Cobalt Strike信标进行关联，这些信标都是通过类似的ZIP文件传递的。

使用恶意可执行文件的时间戳和之前提到的文件名，我们发现了多达14个不同的样本，所有这些样本都与该活动相关：

VirusTotal查询： metadata:"2015:07:10 03:27:31+00:00" filename:"imebroker.exe"

基于VT提取的配置，我们可以使用提取的公钥来识别更多样本：

VirusTotal查询： malware_config:30819f300d06092a864886f70d010101050003818d003081890281810096cc4e6ad9aee91ca69b7b44465e17412626a11c7855b7a69daad00f48c0ea98f0e389a0a1c4b74332bf0d603a6e53e05ee734c9a289ff172204bfc9430ed4d6041402d02b526e902b95f6f219598cb1b6391403fa627ab36dbe88646620369e7ec89bdc31f1a2b0bedba1852d5e7656d3b297f9d39f357816f0677563bc496b020301000100000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

除了这些可执行文件，我们还提到ZIP文件中也有LNK文件。分析后，一致的LNK-ID元数据在许多样本中显示了相同的标识符。在VT中查询这些LNK-ID可以识别与该活动相关的新文件：

VirusTotal查询： metadata:"laptop-g5qalv96"

我们最初追踪了几个利用基于LNK的设备ID和Cobalt Strike信标的活动。然而，在9月到10月的活动中出现了一个有趣的转变。我们观察到一组新的活动频繁使用简历主题的诱饵，经常冒充中国著名研究机构的学生。

虽然鱼叉式网络钓鱼策略保持相似，但最终执行方式发生了变化。威胁参与者放弃了Cobalt Strike信标，转向DLL侧加载作为其有效载荷，同时保持相同的诱饵主题。这种技术的显著变化使我们识别出了第二波主要活动，我们正式将其标记为"Operation AmberMist"。

通过开发一个简单而有效的狩猎查询，我们能够发现一个先前未公开报告的样本：

VirusTotal查询： type:zip AND (metadata:"lnk" AND metadata:".vbs" AND metadata:".pdf") and submitter:HK

Silent Lynx

SEQRITE APT团队追踪的另一个名为"Silent Lynx"的活动针对多个行业，包括银行业。与之前描述的情况一样，多亏了VT，我们能够进行关联并识别与该活动相关的新样本。

初始发现和关联

在该活动的初始阶段，我们发现了一个基于诱饵的SPECA相关归档文件，在2024年12月至2025年1月期间针对吉尔吉斯斯坦。该诱饵旨在分散对真实有效载荷的注意力：一个恶意的C++植入程序。

我们执行了多个关注该植入程序的关联，通过分析样本的元数据、网络指标和功能，我们发现威胁参与者一直在使用类似的C++植入程序，这使我们发现了另一个与Silent Lynx相关的针对吉尔吉斯斯坦银行业的活动。

我们利用VT语料库在多个节点部署了多个Livehunt规则，一些简单的示例如下：

• 查看C++植入程序中编码的Telegram Bot基于有效载荷的使用情况
• 生成Powershell.exe LOLBIN
• 检查恶意电子邮件文件的VT搜索启用器，如果从中亚地理圈上传
• ISO导向的第一阶段
• YoroTrooper和Silent Lynx之间的多个行为重叠以及我们进一步开发的狩猎假设

利用VT语料库并在上述指标和恶意鱼叉式网络钓鱼电子邮件中包含的许多其他指标上进行进一步关联，我们还追踪了一些进一步的活动。最重要的是，我们每次都会开发一个新的YARA规则和一个新的假设，以狩猎类似的植入程序，利用Livehunt功能，根据定制规格和我们在狩猎过程中收到的原始数据，同时考虑误报和漏报的情况。

威胁参与者在乌兹别克斯坦和土库曼斯坦的多个活动中重复使用相同的植入程序。通过VT的狩猎查询以及submitter:UZ或submitter:TM帮助我们识别这些样本。

我们调查中最重要的关联点是恶意软件样本本身，如之前的截图所示，是使用编码的PowerShell blob生成powershell.exe，这在不同的活动中被多次使用。该样本作为一个关键指标，使我们能够发现针对该地区关键行业的其他活动，并确认了参与者操作的重复性。

此外，多亏了VT的集合功能，我们进一步利用它来建立威胁实体的归因。

DragonClone

最后，我们想要说明的最后一个活动是一个我们命名为DRAGONCLONE的组织，通过在VT生态系统中的关联使我们的团队能够发现新样本。

SEQRITE APT团队一直在监控DRAGONCLONE，因为他们积极针对亚洲和全球的关键行业。他们利用复杂的方法进行网络间谍活动，通过部署自定义恶意软件植入程序、利用未修补的漏洞和广泛的鱼叉式网络钓鱼来入侵电信和能源等战略组织。

初始发现

最近，在5月13日，我们的团队发现了一个恶意ZIP文件，该文件出现在各种来源中，包括VT。该ZIP文件被用作初步感染向量，并在存档中包含多个EXE和DLL文件。

中国背景的威胁参与者有一种众所周知的倾向，即在他们的感染链中传递DLL侧加载植入程序。利用VT中众包的Sigma规则，以及使用静态YARA签名的个人狩猎技术，我们能够有效地追踪和狩猎这种恶意鱼叉式网络钓鱼附件。

通过VT语料库关联证书

在探索相关工件的网络时，我们最初没有找到任何直接的共同点。然而，一个名为"2025中国移动铁通有限公司内部培训计划"的看起来干净的可执行文件引起了我们的关注。其命名和元数据表明可能存在伪装行为，使其成为一个需要深入调查的关键关联点。

证书是查看恶意工件时最重要的指标之一，我们看到它是WonderShare Repairit软件的新鲜干净副本，这是一个众所周知的修复损坏文件的软件，但一个可疑的担忧是它是由深圳市迅雷网络技术有限公司签名的。

VirusTotal查询： signature:"ShenZhen Thunder Networking Technologies Ltd."

利用这个直觉，我们发现并狩猎了由类似签名的可执行文件，并发现存在多个恶意二进制文件，尽管这不是唯一指标或关联点，但是一个关键点，可以研究进一步的指标。

通过VT语料库关联恶意软件配置

我们分析了加载程序并确定它稍微高级，执行复杂的任务，如反调试。更重要的是，它投放V-Shell，一个后期利用工具包。V-Shell最初是开源的，但后来被其作者撤下，并在地球Lamia的活动中被观察到。

提取V-Shell shellcode后，我们发现了一个不寻常的恶意软件配置属性：qwe123qwe。通过利用VT语料库对这一发现进行关联，我们能够识别可能与该活动相关的其他V-Shell植入程序样本。

VirusTotal查询： malware_config:"qwe123qwe"

VT技巧（基于成功故事）

威胁狩猎是一门艺术，优秀的艺术家需要正确的工具和技术。在本节中，我们将分享一些在VirusTotal生态系统中进行关联和狩猎的实用技巧，灵感来自本博客文章中讨论的活动中使用的技术。

通过恶意软件配置进行狩猎

许多恶意软件家族使用配置文件来存储C2信息、加密密钥和其他操作数据。对于某些恶意软件家族，VirusTotal会自动提取这些配置。您可以使用这些配置中的唯一值来查找同一活动中的其他样本。

不要忽视LNK文件元数据

威胁参与者经常犯操作安全错误。一个常见的错误是未能从文件中删除元数据，包括LNK文件。这些元数据可以揭示有关攻击者机器的信息，例如主机名。

通过泄露的Bot令牌追踪参与者

一些恶意软件，特别是那些使用公共平台进行命令和控制的恶意软件，将具有硬编码的API令牌。这些令牌可以从沙箱执行期间的内存转储中或从恶意软件代码本身提取。

利用代码签名证书

威胁参与者有时会签署他们的恶意可执行文件，使其看起来合法。这些证书可以是一个强大的关联点。

利用YARA和Sigma规则

为了主动狩猎，您可以开发自己的YARA规则，基于唯一字符串、代码模式或其他特征来查找恶意软件家族。此外，您可以通过在VirusTotal中使用众包的Sigma规则来利用社区的力量。

结论

SEQRITE APT团队在追踪UNG0002、Silent Lynx和DRAGONCLONE等活动方面的成功故事证明了VirusTotal作为一个协作和全面威胁情报平台的力量。通过利用恶意软件配置分析、元数据关联和社区驱动的工具（如YARA和Sigma规则）的组合，安全研究人员可以有效地发现和追踪复杂的威胁参与者。