palianytsia-200/U-OB-KY

# U-OB-KY ## 为什么会有这个代码库 CERT-UA 上次关于 UAC-0010 的公开公告是在 2023-07-13。现在快到 2024 年底了，该攻击者的活动并未减缓——只是公开报道停止了。我想要一个可以保存自己笔记的地方，而不是仅仅放在我笔记本电脑的某个私人文件夹里，这样未来的我也能用 grep 搜索。 这是一个笔记库。它**不是**精选的威胁情报源，这里的观点仅代表我个人，不代表任何雇主的立场（我现在在 Brights 工作，但此处的观点是我个人的，非公司立场）。 ## 内容 - `notes/` — 带有日期的研究笔记。 - `iocs/` — 当前和历史 IOC 追踪表。 - `rules/` — 我正针对捕获的 pcap 数据尝试使用的 Suricata 规则。另请参阅我的 `suricata-elk-lab` 代码库，了解我运行这些规则的实验环境。 ## 当前重点 (2026) Wave-2 Pterodo HTML-lander 活动 — RAR dropper 组合利用 CVE-2025-8088 + CVE-2025-6218 漏洞，beacon URL 位于 `212.193.20.110`，使用 No-IP DDNS 前端。当前状态请参阅 `notes/2026-05-rar-exploit-chain.md` 和 `iocs/wave2_c2.md`。 ## 我正在追踪的内容 - VT 上的 Pterodo / `Trojan:HTML/Pterodo.*` HTML-lander 样本。 - C2 IP 以及指向它们的 DDNS 主机名。 - 文件命名和 URL 生成模式。特别是头韵/双字母习惯——Gamaredon 自 2022 年以来一直在这样做，并且从未停止。 ## 我一直注意到的一个模式 该攻击者喜欢使用头韵/双字母的 URL 组件。我现在已经看到了 `j-j-j`（较旧的 URL 生成器，2022-23 年）和 `vv`/`Ss`/`kk` 风格的双字母 beacon 动词（2024 年）。详细分析请参阅 `notes/2025-01-alliterative-c2.md`。 ## 我如何阅读这个代码库 在每个 `notes/` 文件中，按从上到下、最新在前的顺序排列。`iocs/` 中的 IOC 被保存为 Markdown 表格，以方便 grep 搜索。

标签：APT追踪, C2服务器, CERT-UA, CVE-2025-6218, CVE-2025-8088, DAST, DDNS, Gamaredon, Go语言工具, HTML落地页, IOC, IP 地址批量处理, Metaprompt, Pterodo, PTERO家庭木马, RAR投放器, Suricata规则, UAC-0010, 入侵指标, 威胁情报, 开发者工具, 恶意软件分析, 漏洞利用链, 病毒总样本, 网络信息收集, 网络安全, 网络攻防, 防御加固, 隐私保护