攻击目标系统

Windows

Linux

主要攻击手法

Lnk漏洞CVE-2017-8464（通过移动设备）

SSH爆破

office漏洞CVE-2017-8570（通过钓鱼邮件）

Redis未授权访问漏洞

SMBGhost漏洞CVE-2020-0796

Hadoop Yarn未授权访问漏洞

永恒之蓝漏洞MS17-010

mssql爆破

RDP爆破

$IPC爆破

SMB爆破

时间

主要技术点

2018年12月14日

利用“驱动人生”系列软件升级通道下载，利用“永恒之蓝”漏洞攻击传播。

2018年12月19日

下载之后的木马新增Powershell后门安装。

2019年1月9日

检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。

2019年1月24日

木马将挖矿组件、升级后门组件分别安装为计划任务，并同时安装Powershell后门。

2019年1月25日

木马在1月24日的基础上再次更新，将攻击组件安装为计划任务，在攻击时新增利用mimikatz搜集登录密码，SMB弱口令爆破攻击，同时安装Powershell计划任务和hta计划任务。

2019年2月10日

将攻击模块打包方式改为Pyinstaller。

2019年2月20日

更新矿机组件，下载释放XMRig矿机，以独立进程启动挖矿。

2019年2月23日

攻击方法再次更新，新增MsSQL爆破攻击。

2019年2月25日

在2月23日基础上继续更新，更新MsSQL爆破攻击时密码字典，添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击，同时使用黑客工具mimiktaz、psexec进行辅助攻击。

2019年3月6日

通过已感染机器后门更新Powershell脚本横向传播模块ipc。

2019年3月8日

通过已感染机器后门更新PE文件横向传播模块ii.exe，采用无文件攻击技术。该团伙使用的Powershell攻击代码与2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处。

2019年3月14日

通过后门更新增肥木马大小、生成随机文件MD5逃避查杀，将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务进自启动。

2019年3月28日

更新无文件攻击模块，更后新的攻击方式为：永恒之蓝漏洞攻击、弱口令爆破+WMIC、Passthehash+SMBClient/SMBExec，并通过Payload安装计划任务将木马具有的多个恶意程序进行下载。

2019年4月3日

开创无文件挖矿新模式：挖矿脚本由PowerShell下载在内存中执行。

2019年7月19日

无文件攻击方法新增CVE-2017-8464Lnk漏洞利用攻击，感染启动盘和网络共享盘，新增MsSQL爆破攻击。

2019年10月9日

新增Bluekeep漏洞CVE-2019-0708检测上报功能。

2020年2月12日

使用DGA域名，篡改hosts文件。

2020年4月3日

新增钓鱼邮件传播，邮件附件urgent.doc包含Office漏洞CVE-2017-8570。

2020年4月17日

钓鱼邮件新增附件readme.zip、readme.doc，新增BypassUAC模块7p.php，创建readme.js文件感染可移动盘、网络共享盘

2020年5月21日

新增SMBGhost漏洞CVE-2020-0796检测上报功能，新增SSH爆破代码（未调用）。

2020年6月10日

新增SMBGhost漏洞CVE-2020-0796利用攻击，新增SSH爆破、Redis爆破攻击Linux服务器并植入Linux平台挖矿木马。

2020年6月24日

重新使用Python打包EXE攻击模块20.dat(C:\Windows\Temp\<random>.exe)，负责永恒之蓝漏洞攻击、$IPC、SMB爆破攻击。

2020年8月18日

新增利用Yarn未授权访问漏洞攻击Linux服务器