文章总结： 文档详细分析了一起始于伪造Zoom官网的APT攻击链，攻击者通过d3f@ckloader和IDATloader投放SectopRAT，潜伏9天后激活BruteRatel和CobaltStrike进行横向移动，使用QDoor代理工具通过RDP渗透内网，最终通过PsExec部署BlackSuit勒索软件加密全网Windows设备。报告提供了完整的IoC指标和防御建议，包括端点监控、网络流量检测、凭据保护及数据外传管控措施。 综合评分： 85 文章分类： 渗透测试,应急响应,恶意软件,红队,内网渗透

伪造Zoom官网投递BlackSuit勒索软件：9天入侵全链路深度剖析

bitbot bitbot

Desync InfoSec

2026年4月16日 19:54 北京

在小说阅读器读本章

去阅读

 2024年5月，一起精心策划的入侵事件从一个仿冒 Zoom 官网的恶意下载开始，历经9天的潜伏期，最终以 BlackSuit 勒索软件加密全网 Windows 设备收尾。全程涉及 d3f@ckloader、IDAT loader、SectopRAT、Brute Ratel、Cobalt Strike、QDoor 等多款攻击工具，是一条教科书级的 APT 攻击链。

────────────────

 核心要点

 攻击者通过仿冒 Zoom 官网的恶意下载，利用 d3f@ckloader 与 IDAT loader 投递 SectopRAT。  潜伏9天后，SectopRAT 释放 Cobalt Strike 与 Brute Ratel，开始横向移动。  攻击者使用 QDoor 代理工具，通过 RDP 在内网中穿行并实施数据窃取。  使用 WinRAR 打包文件后通过 Bublup 云存储外传约 934 MB 数据。  最终通过 PsExec 在全部 Windows 系统上远程部署 BlackSuit 勒索软件。  攻击总耗时约 194 小时（9个日历日）。

 一、初始入口：仿冒 Zoom 官网

 攻击始于一个名为 zoommanager[.]com 的克隆网站。该网站几乎完全复制了 Zoom 的官方页面，但悄悄在顶部注入了一个 loadlink() JavaScript 函数，将”下载”按钮指向后端的 dwnl.php 脚本。

 点击下载后，用户拿到的是恶意二进制文件 Zoom_v_2.00.4.exe。值得注意的是，攻击者并没有替换所有链接——大部分下载链接仍然指向真正的 Zoom 官方，降低了被怀疑的概率。

 该恶意程序使用 Inno Setup 打包，内嵌的下载器即为 d3f@ckloader（基于 Pascal Script），其中引用了 OneDrive、Telegram 和 Steam 等平台。

 运行后，恶意程序首先执行批处理脚本 21.cmd，将 C:\ 盘添加到 Windows Defender 排除列表，并用 attrib +s +h /D 隐藏所有文件。随后，程序连接 Steam 社区主页获取第二阶段 payload 的 IP 地址。

 通过 Inno Download Plugin（idp.dll）从远程服务器下载两个 ZIP 文件。第二个批处理脚本 4554.cmd 解压两个压缩包并执行其中的 payload：

 第一个压缩包：1522.exe —— 合法的 Zoom 安装程序（用于掩人耳目）  第二个压缩包：152.exe（签名程序）+ IDAT loader（HijackLoader）+ 加密文件 artillery.mdb

 152.exe 运行后，SectopRAT 被注入到 MSBuild.exe 进程中。该进程随即访问 Pastebin 获取 C2 服务器地址。之后攻击活动暂停，整整8天没有任何操作——这是典型的”冷处理”手法，等待安全告警冷却。

────────────────

 二、潜伏期后苏醒：Brute Ratel + Cobalt Strike 双框架组合

 在入侵第9天，SectopRAT 突然”苏醒”，启动新的命令行 shell，执行 DLL 2905.dll（通过 regsvr32.exe）。YARA 内存扫描确认该文件为 Brute Ratel C4 框架的 Badger 组件。

 值得注意的是，在此之前还落地了另一个 DLL 3004.dll，同样是 Brute Ratel Badger，但 C2 配置不同且从未被执行——可能是攻击者的失误。

 随后，Brute Ratel 释放了 Cobalt Strike beacon（run32.exe），该 beacon 注入到 dllhost.exe 进程中，开始访问 LSASS 内存进行凭据转储。

 三、凭据窃取与发现

 攻击者利用 Cobalt Strike 的 pass-the-hash 模块提升权限至 SYSTEM。dllhost.exe 请求对 LSASS 进程的 0x1FFFFF（PROCESS_ALL_ACCESS）权限，表明正在进行 LSASS 内存凭据转储。Logon Type 9 配合 seclogo 认证类型进一步证实了 pass-the-hash 的使用。

 内存扫描还在 Brute Ratel Badger 进程空间中发现 Rubeus 工具的痕迹，表明攻击者可能尝试了多种凭据获取手段。

 在发现阶段，攻击者依次执行了 hostname、nltest /domain_trusts、net group "domain admins"、systeminfo、whoami /groups 等命令，并通过 WMIC 查询主机安装的 AV/EDR 产品。

 四、横向移动：QDoor 代理 + RDP

 横向移动主要依赖两个手段：

1. Cobalt Strike jump psexec_psh —— 通过 PowerShell + Base64 编码的 payload，快速在多台主机上部署 Cobalt Strike 信标。

2. QDoor 代理 + RDP —— 攻击者在域控和备份服务器上放置 svhost.exe（即 QDoor 代理工具），通过 WMIC 启动并配置远程 C2 IP。QDoor 未加密的 C2 通信可以被 Suricata 检测。攻击者通过该代理进行 RDP 连接（LogonType 10），并在 RDP 会话中泄漏了后端主机名 DESKTOP-NT7KVK5。

 五、数据窃取：Bublup 云外传

 攻击者通过 RDP 连接到文件服务器，使用 Edge 浏览器下载 WinRAR，对文件共享目录进行压缩打包：

 “C:\Program Files\WinRAR\WinRAR.exe” a -ep1 -scul -r0 -iext -imon1 — . G:[目标目录]

 随后通过 Edge 浏览器访问 mystuff.bublup.com（一个基于 Amazon S3 的 SaaS 项目管理平台），将 RAR 压缩包上传至云端。总计外传数据量约 934.38 MB。

 六、BlackSuit 勒索软件部署

 在入侵第9天末尾，攻击者开始部署勒索软件。从临时文件分享站点 temp.sh 下载了一个 RAR 压缩包，解压后包含以下文件：

123.exe —— BlackSuit 勒索软件本体 PsExec.exe —— 远程执行工具 comps[1-4].txt —— 目标主机 IP 列表 COPY.bat —— 将勒索软件复制到远程主机 EXE.bat —— 在远程主机执行勒索软件

 攻击者创建网络共享来中转文件，依次执行 COPY.bat 将 123.exe 分发到目标主机，再执行 EXE.bat 远程触发加密。勒索软件执行后会使用 vssadmin 删除卷影副本、加密本地文件、并投放勒索信。最后攻击者通过 WMIC 在用作部署跳板的域控上本地执行了勒索软件。

────────────────

 七、C2 基础设施全景

| | | | | — | — | — | | 工具 | C2 地址 | 协议/端口 | | SectopRAT | 45.141.87.218 | TCP 15647/9000 | | Brute Ratel (Badger 1) | megupdate[.]com | HTTPS 443 | | Brute Ratel (Badger 2) | *.aws-usw2.cloud-ara.tyk[.]io | HTTPS 443 | | Cobalt Strike | *.aws-use1.cloud-ara.tyk[.]io | HTTPS 443 | | QDoor | 88.119.167.239 / 143.244.146.183 | TCP（明文） |

 特别值得注意的是，攻击者大量利用 Tyk（开源 API 网关） 的合法基础设施来隐藏 C2 流量。Brute Ratel 和 Cobalt Strike 都配置了 tyk[.]io 域名，使得恶意流量混入正常的 API 管理流量中。

────────────────

 八、IoC 威胁指标

| | | | — | — | | 类型 | 值 | | 恶意域名 | zoommanager[.]com | | C2 域名 | megupdate[.]com | | C2 域名 | administrative-manufacturer-gw.aws-usw2.cloud-ara.tyk[.]io | | C2 域名 | provincial-gaiters-gw.aws-use1.cloud-ara.tyk[.]io | | C2 IP | 45.141.87.218 | | C2 IP | 5.181.159.31 | | QDoor C2 | 88.119.167.239 | | QDoor C2 | 143.244.146.183 | | 恶意程序 | Zoom_v_2.00.4.exe | | Brute Ratel URI | /procupdater.php, /callsysprocess.php | | Cobalt Strike URI | /api/v2/login, /api/v2/status | | C2 加密密钥 | FDI3KJPV29S8P4IO, EQRAA57CS67L38JH |

────────────────

 九、防御建议

1. 端点防护：监控 MSBuild.exe、dllhost.exe、regsvr32.exe 等系统进程的异常网络连接和内存注入行为。

2. 网络检测：部署 Suricata/Zeek 规则检测 SectopRAT 端口流量、QDoor 明文代理、以及 Tyk 域名的异常使用。

3. 凭据保护：启用 LSASS 保护（Credential Guard），监控 0x1FFFFF 权限请求和 LogonType 9 认证。

4. 横向移动检测：关注 PsExec 服务创建、异常的远程 WMIC 命令和 RDP 登录链。

5. 数据外传监控：对 SaaS 存储平台（Bublup 等）的大文件上传实施 DLP 策略。

6. 域安全：限制 Domain Admins 组成员数量，启用 MFA，定期审计特权账户使用。

────────────────

 来源：The DFIR Report — Fake Zoom Ends in BlackSuit Ransomware  发布日期：2025年3月31日 | 分析师：@pigerlin, UC1, @Miixxedup

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Desync InfoSec bitbot bitbot《伪造Zoom官网投递BlackSuit勒索软件：9天入侵全链路深度剖析》