yankywilson/ssa-phishing-investigation

# SSA 主题钓鱼主机调查：5.8.11.85 **状态：** 服务器截至 2026-05-06 仍处于存活状态。Payload 可通过明文 HTTP 访问。 **相关工作：** [`screenconnect-rogue-tenant-investigation`](https://github.com/yankywilson/screenconnect-rogue-tenant-investigation) — 产生本发现中 /24 网段线索的 c3g0hr 案例。 ## 太长不看 `5.8.11.85`（PINDC-AS，俄罗斯；与 c3g0hr 操作者主机位于相同 /24 网段并使用相同的 Apache 技术栈）在 2026-04-23 至 2026-05-04 期间提供了一个 SSA 主题的 PHP 钓鱼页面，随后转换为开放式的 Apache 目录列表，暴露了 `/download/VLC-1.0.0-win64.msi`。 该 MSI **并非 VLC**。其内嵌的 MSI 摘要元数据自称为由 *"RMM System"* 编写的 *Remote Monitoring and Management Agent*，并使用 *"Python MSI Library"* 构建。在安装时，它会将一个完整的 Python 生态系统（`aiohttp`、`aioice` STUN、`cryptography`、`PyAV`、`websockets`、`pygetwindow`、`dns`、`werkzeug`）释放到 `C:\Program Files\VLC\lib\` 中。这种库组合与远程访问/屏幕流传输工具一致，推测是基于 `aiortc` 构建的。 该样本（SHA-256 为 `15a54fcea41d37ca3609cef0d3a4ca4e707b53098c4dcd0a38d438764197501b`）在所有已查询的公开语料库中均**不存在** —— 包括 VirusTotal、MalwareBazaar、Joe Sandbox、ThreatFox、URLhaus、urlscan、OTX、Pulsedive 和 IBM X-Force。在此将其视为一个**全新样本**。 在 128 秒的沙箱沙箱 detonation 过程中**未观察到** C2 基础设施；安装的代理未在捕获时间窗口内自动启动。本案例仅作为**投递阶段基础设施观察**进行记录，而非完整的攻击链（kill-chain）调查。 ## 快速概要 | 字段 | 值 | |---|---| | 主机 | `5.8.11.85` | | ASN | AS34665 (PINDC-AS, RU) | | 相邻操作者 | `5.8.11.68` — `c3g0hr` 恶意 ScreenConnect 租户（独立案例） | | Web 技术栈 | Apache/2.4.58 (Ubuntu) | | 诱饵活跃期 | 2026-04-23 → 2026-05-04 | | 诱饵标题 | "Social Security Administration" | | 诱饵正文 SHA-256 | `3635b77645e24484f18d77784713ae83943fa742cdfb302644d6543674b5e38e` | | Payload URL | `http://5.8.11.85/download/VLC-1.0.0-win64.msi` | | Payload 大小 | 59,117,568 字节 | | Payload SHA-256 | `15a54fcea41d37ca3609cef0d3a4ca4e707b53098c4dcd0a38d438764197501b` | | Payload SHA-1 | `35c1644b1a26c40341c394d4903ffe6f2a2ed89b` | | Payload MD5 | `316efde8b18c376e3f11ff67b48b83e4` | | Payload Apache ETag | `"3861000-650d0467933c0"` | | Payload 服务器端修改时间 (mtime) | 2026-05-02 07:02:06 UTC | | MSI 产品 GUID | `{6FC0EBB7-34B9-4ACF-BE55-8CC0CBAFF54B}` | | MSI 作者 (元数据) | `RMM System` | | MSI 注释 (元数据) | `Remote Monitoring and Management Agent` | | MSI 创建应用程序 (元数据) | `Python MSI Library` | ## 仓库结构 ``` . ├── README.md this file — top-level summary ├── writeup/ │ └── full-report.md narrative timeline + technical analysis ├── iocs/ │ ├── iocs.csv machine-readable IOC list │ └── iocs.md human-readable IOC list with context ├── detection-rules/ │ ├── suricata.rules network detections │ └── sigma/ │ ├── ssa_msi_install.yml MSI install with VLC product name │ └── ssa_msi_python_drop.yml Python ecosystem drop under VLC dir └── LICENSE MIT ``` ## 与相关集群的区别 本案例被特意与两个表面上相似的集群区分开来： **Securonix VENOMOUS#HELPER / Sophos STAC6405**（发布于 2026-05-04/05）。利用被入侵的合法 `.com.mx` 域名进行 SEG evasion。Payload 是封装了 JWrapper 的 Java 程序，投递 SimpleHelp + ScreenConnect 双重 RMM。C2 位于西方主机托管商（IONOS DE）。5.8.11.85 在每个维度上都与前者不同：原生俄罗斯主机托管、定制的 Python 工具、无 JWrapper、无 SimpleHelp/ScreenConnect。**未被评估为 STAC6405。** **`c3g0hr` 恶意 ScreenConnect 租户**（独立调查）。相同的 /24 网段（`5.8.11.68`），相同的 Apache 2.4.58 / Ubuntu 技术栈，相似的 "钓鱼页面 → MSI" 模式。然而，c3g0hr 的 Payload 是一个合法的（恶意租户）ConnectWise ScreenConnect MSI，而 5.8.11.85 的 Payload 是一个带有操作者提供的 "RMM System" 元数据的定制 Python 工具。这种共享的主机托管情况表明，要么 是同一操作者使用不同工具开展并行活动，要么 是同一俄罗斯主机经销商的两个客户。**没有足够的证据做出明确归因。** ## 本仓库是什么与不是什么 **是：** 一个真实客观的基础设施观察。存活主机，已恢复的 Payload，经过哈希确认的全新样本，基于数据包捕获的完整网络侧重建，以及针对当前活跃供应商报告的对比框架。 **不是：** 一篇恶意软件分析论文，一项归因声明，或一次完整的攻击链调查。该 Python Payload 未被逆向工程；未观察到 C2；未点名操作者。 本仓库未附带发布该样本。我们提供了哈希值，以便其他研究人员在独立遇到该样本时可以进行溯源追踪。 ## 报告 滥用报告收件人（发送于 2026-05-06）： - BPW Host (`abuse@bpwhost.com`) — AS34665 的托管服务提供商 - Huntress (`tradecraft@huntress.com`) — 社区共享 - NCC Group CIRT (`cirt@nccgroup.com`) — 社区共享 ## 作者 [@yankywilson](https://github.com/yankywilson) — 独立 CTI 研究员。 ## 许可证 MIT — 请参阅 [许可证](LICENSE)。

标签：aiortc, Apache服务器, DAST, IP 地址批量处理, Metaprompt, MSI恶意软件, Object Callbacks, Python恶意软件, VLC诱饵, 命令与控制, 失陷标示, 威胁情报, 开发者工具, 恶意基础设施, 恶意软件分析, 搜索语句（dork）, 数字取证, 沙箱分析, 知识库安全, 社会安全局, 网络信息收集, 网络安全, 网络钓鱼, 自动化脚本, 远程监控与管理, 远程访问木马, 逆向工具, 隐私保护, 鱼叉式钓鱼, 黑产挖掘