警惕！境外APT组织蔓灵花攻击我国多个目标！

10月27日，Twitter用户@MisterCh0c发布消息称发现疑似某APT组织的一款木马控制平台登录地址（http://lmhostsvc[.]net/healthne/login.ph）。

经核实发现，相关域名属于印度政府背景APT蔓灵花（Bitter）组织所有，且该后台控制界面中暴露的IP地址中9个属于中国，主要涉及北京、上海、浙江、广西等地，该平台还具备下发木马插件的功能，可对受控主机实施进一步操作，相关信息如下所示：

通过该控制页面，攻击者可以对目标继续下发任务，其功能木马如下：

Audiodq：获取计算机基本信息，远程获取文件并执行

igfxsrvk：键盘hook

Kill：设置sleep文件开机自启

Lsap、lsapc、lsapcr：磁盘、文件等相关操作

MSAService7：采用C#编写，功能包括：文件创建拷贝删除与传输、进程的创建挂起结束及其相关信息、cmd命令、剪切板信息、计算机基本信息包括CPU信息，计算机名称、磁盘信息等。

Winsvc：采用C语言编写的木马，功能与上边类似

Sleep：关机操作

regdl：设置Audiodq开机自启

关于APT蔓灵花组织

此次曝光的蔓灵花（Bitter）组织C2控制台仅仅揭露蔓灵花组织在我国攻击的冰山一角，早在2017年末2018年初，蔓灵花组织使用其常用的攻击手法攻击过我国多个部委、重要行业单位以及巴基斯坦在我国的工作人员，影响单位和人员较多，其使用的C2控制台与本次曝光的C2控制台基本一致。

蔓灵花（BITTER）组织是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织。近两年来，蔓灵花APT组织并未更新其后台控制端以及木马的升级，国内外多个安全研究组织都通过其后台漏洞进入到C2控制界面，另外，弱口令问题、目录遍历问题等常见WEB问题在该C2控制台均有漏洞体现。

防御建议

鸟叔建议受影响的企业需要高度重视此次事件，并且结合内部DNS记录，排查与主控域名存在通信的相关内部主机，并对该组织的攻击活动进行持续检测和防范。

同时也提醒大家，无论是企业还是个人，都应该重视培养个人网络安全意识，不要轻易打开未知来源的邮件及附件，不随意点击未知的、不安全的链接，下载未验证可靠来源的文档，及时更新系统补丁以保证系统安全。