国外安全研究人员在社交网站发现疑似某APT组织的后台

近日，深信服安全团队关注到，国外安全研究人员Misterch0c在 twitter 上发现疑似某 APT 组织的后台，时间节点在 2019 年 10 月 27 日。

28日，另外一名安全研究员跟推，指出有部分中国用户被控制。

关于此次事件的重要C2服务器 lmhostsvc.net ，深信服安全云脑威胁情报显示，只有极少数的访问记录，访问时间在 2019 年 10 月 29 号，并非关键核心部门，是一些学院性质的学校，疑似是 twitter 曝光 lmhostsvc.net 后，一些在校安全研究人员在研究和访问。

该次事件所关联的样本母体是一个.msi文件，这个病毒以钓鱼邮件附件的方式分发到被攻击的目标。病毒运行后，会弹出一个提示框提示用户等待安装，来以掩盖背后的恶意行为。

该msi会释放主程序 audiodq.exe ，该程序的主要功能为发送主机信息及接收 C&C 端下发的组件，如下图所示， regdl.exe 和 MSAServices.exe 即为下发的后门组件。

各组件功能如下：

MSAServices .exe 是一个 .NET 编写的后门，反编译后，其核心功能如下，主要为：文件操作、进程管理、远程执行命令。

最后，从监控到的流量可以发现，中招主机上线URL形如：

http://lmhostsvc.net/healthne/accept.php?a=MT&b=MT&c=Windows 7 Ultimate&d=G4rb3nG4rb3n53be9afe-e736-4104-8f32-fce8324c70e8365536040965860&e=