paolocostanzo/operation-epic-fury-rules

# 行动代号 Epic Fury — 检测规则与 IOC **作者：** Paolo Costanzo — [paolocostanzo.github.io](https://paolocostanzo.github.io) **日期：** 2026-03-15 **TLP：** WHITE — 可自由分享 **许可证：** MIT ## 关于本研究 这是针对 **Operation Epic Fury** 的原创 OSINT 调查 —— 这是一场由伊朗关联组织发起的双平台攻击活动（Android + Windows），该活动在 2026 年 2 月 28 日的军事行动之后，通过伪造的“RedAlert”火箭弹警报应用程序针对以色列平民。 本仓库中的所有发现，在发布之时**均未出现在任何先前的公开报告**（Unit 42、CloudSEK、Cloudflare Cloudforce One、ClearSky、Trellix、Sophos）中。 主要原创发现： | # | 发现 | 在先前报告中的状态 | |---|---------|------------------------| | 1 | 二级 Windows C2 (167.160.187.43 / 9732.5486311.xyz) — **VirusTotal 检出率 0/94** | ❌ 未记录 | | 2 | Windows 载荷：LotAccessUI.EXE (被木马化的 AppEx VPN 2016) | ❌ 未记录 | | 3 | 基础设施自 **2025 年 6 月** 起活跃（行动前 8 个月） | ❌ 未记录 | | 4 | 两个 C2 服务器在行动结束后 **17 天以上** 仍处于活跃状态 | ❌ 未记录 | | 5 | 第二个 Android APK：umgdn / com.net.alerts，使用 Pushy.me C2 | ❌ 未记录 | | 6 | 与 Arid Viper 2023 的战术趋同（相同的 TTP 模式） | ❌ 未记录 | ### 为什么 Windows 载荷不可见？ LotAccess 实现了 **RDTSC 反虚拟机逃逸** (T1497.003)：它通过测量 CPU 周期计数来检测沙箱环境。如果检测到虚拟机，它不会联系 C2。结果是：四年来没有任何公共沙箱捕获过此样本的 C2 流量。CrowdStrike Falcon 将其分类为 **CLEAN**。VirusTotal 上 72 家厂商中有 59 家未作响应。 ## 仓库结构 ``` operation-epic-fury-rules/ ├── yara/ │ ├── IranianAPT_LotAccess_EXE_2026.yar # High-confidence — specific campaign │ ├── IranianAPT_LotAccess_Family.yar # Medium-confidence — future variants │ └── IranianAPT_RedAlert_APK_2026.yar # Android APK family ├── sigma/ │ ├── iranian_apt_lotaccess_c2_network.yml # CRITICAL — network C2 contact │ ├── iranian_apt_lotaccess_payload_extraction.yml # HIGH — %TEMP%\EB93A6\ creation │ ├── iranian_apt_lotaccess_registry_c2.yml # HIGH — registry C2 write │ ├── iranian_apt_lotaccess_scheduled_task.yml # HIGH — schtask masquerade │ ├── iranian_apt_lotaccess_wscript_child.yml # MEDIUM — WScript child process │ └── iranian_apt_redalert_android_c2.yml # CRITICAL — Android exfiltration └── ioc/ └── iocs.csv # Machine-readable IOC list ``` ## YARA 规则 | 规则 | 置信度 | 目标 | 关键指标 | |------|-----------|--------|---------------| | `IranianAPT_LotAccess_EXE_2026` | HIGH | LotAccess v1/v2/v3 | mutex + C2 IP / AppEx API 字符串 | | `IranianAPT_LotAccess_Family` | MEDIUM | 任何被木马化的 AppEx VPN | 3/5 共享字符串 | | `IranianAPT_RedAlert_APK_2026` | HIGH | RedAlert APK + umgdn | 包名 + C2 + Pushy.me | ## Sigma 规则 | 规则 | 级别 | 部署位置 | 备注 | |------|-------|-----------|------| | `iranian_apt_lotaccess_c2_network` | CRITICAL | 防火墙 / EDR / SIEM | 仅在物理硬件上触发 (RDTSC 反虚拟机) | | `iranian_apt_lotaccess_payload_extraction` | HIGH | EDR | 最早期的指标 —— 在联系 C2 之前触发 | | `iranian_apt_lotaccess_registry_c2` | HIGH | EDR | 在物理硬件上触发；沙箱值 = "123456" | | `iranian_apt_lotaccess_scheduled_task` | HIGH | EDR / SIEM | 阅读过滤器说明 —— 存在合法任务 | | `iranian_apt_lotaccess_wscript_child` | MEDIUM | SIEM | 实验性 —— 上线前请验证 | | `iranian_apt_redalert_android_c2` | CRITICAL | 代理 / NDR | Android 渗出端点 | ### 部署优先级 1. `iranian_apt_lotaccess_c2_network` + `iranian_apt_redalert_android_c2` — 零误报，立即部署 2. `IranianAPT_LotAccess_EXE_2026` YARA — 端点扫描和邮件网关 3. `iranian_apt_lotaccess_payload_extraction` — EDR，最早期的警报 4. `iranian_apt_lotaccess_registry_c2` — EDR，执行后阶段 5. `iranian_apt_lotaccess_scheduled_task` — 部署前阅读过滤器说明 6. `iranian_apt_lotaccess_wscript_child` — SIEM，首先审查是否存在误报 ### 关键限制 **RDTSC 反虚拟机机制处于激活状态。** Windows C2 在任何沙箱环境中都不会被联系。规则 `iranian_apt_lotaccess_c2_network` 和 `iranian_apt_lotaccess_registry_c2`（包含真实 IP）仅在物理硬件上触发。文件系统和进程规则（Sigma 2、4、5）可在虚拟机环境中正常工作。 ## IOC 请参阅 [`ioc/iocs.csv`](ioc/iocs.csv) 获取完整的机器可读列表。 **关键指标：** | 类型 | 值 | 备注 | |------|-------|------| | IP | `216.45.58.148` | 主 Windows C2 — HostPapa AS36352 | | IP | `167.160.187.43` | 次 Windows C2 — **VirusTotal 检出率 0/94** | | 域名 | `api.ra-backup.com` | 主 C2 域名 | | 域名 | `9732.5486311.xyz` | 次 C2 域名 — **VirusTotal 检出率 0/94** | | SHA256 | `6209a952...` | LotAccessUI.EXE v3 | | SHA256 | `0cba66e7...` | umgdn APK (未公开) | | Mutex | `tqvpn-gui-keep-one-instance` | 零误报 | | JARM | `21d14d00021d21d00042d43d...` | 两个 C2 共享 — 指纹追踪特征 | ## 相关公开报告（涵盖内容） | 来源 | 日期 | Android | Windows | 二级 C2 | |--------|------|:-------:|:-------:|:------------:| | CloudSEK | 2026-03-03 | ✓ | ✗ | ✗ | | Unit 42 (Palo Alto) | 2026-03-04 | ✓ | ✗ | ✗ | | Cloudflare Cloudforce One | 2026-03-04 | ✓ | ✗ | ✗ | | ClearSky / Trellix / Sophos | 2026-03 | ✓ | ✗ | ✗ | ## MITRE ATT&CK 覆盖范围 | 技术 | 战术 | 描述 | |-----------|--------|-------------| | T1497.003 | 防御规避 | RDTSC 基于时间的逃逸 — 沙箱绕过 | | T1071.001 | 命令与控制 (C2) | AppEx VPN API 作为 C2 协议 | | T1112 | 防御规避 | 注册表修改 (C2 配置) | | T1053.005 | 持久化 | 计划任务 (伪装) | | T1036.007 | 防御规避 | 伪装任务名称 | | T1059.007 | 执行 | 通过 WScript.exe 执行 JavaScript | | T1583.001 | 资源开发 | 获取基础设施：域名 | ## 许可证 MIT — 可自由使用，请注明出处。 如果您发现这些规则有用或检测到新变种，请联系：me@paolocostanzo.com *本研究仅使用公共工具进行：VirusTotal (免费版)、FOFA、crt.sh、nmap、openssl。* *无特权访问。所有发现均可复现。*

标签：Android恶意软件, APT攻击, C2通信, DNS信息、DNS暴力破解, HTTP工具, IOC指标, IP 地址批量处理, MIT许可, OSINT调查, RDTSC检测, Sigma规则, TLP WHITE, Windows木马, YARA规则, 伊朗黑客, 双重平台攻击, 反虚拟机技术, 基础架构分析, 威胁情报, 开发者工具, 恶意样本分析, 搜索语句（dork）, 沙箱逃逸, 目标导入, 红警应用伪造, 网络信息收集, 网络间谍, 速率限制, 配置审计