黑客利用RedLineC2基础设施攻击韩国海事行业

admin 2026-07-12 04:42:58 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 该文档报告了针对韩国海事行业的鱼叉式网络钓鱼活动,攻击者利用RedLineStealer的C2基础设施分发Formbook恶意软件。调查从单个IP指标扩展到伪造域名和邮件基础设施,揭示了精准的BEC策略。关键发现包括攻击者使用特定主机托管模式和服务器指纹。防御建议是优先阻断分发基础设施而非仅关注恶意软件本身。 综合评分: 85 文章分类: 威胁情报,恶意软件,红队,网络安全,实战经验


cover_image

黑客利用 RedLine C2 基础设施攻击韩国海事行业

ZM ZM

暗镜

2026年7月10日 08:00 北京

在小说阅读器读本章

去阅读

单个 RedLine Stealer 命令与控制 (C2) 指标揭示了一场针对韩国海事行业的有针对性的鱼叉式网络钓鱼活动,暴露了攻击者拥有的一系列域名和邮件基础设施,这些域名和基础设施用于分发窃取凭证的有效载荷。

初始信号源自 VMRay UniqueSignal 馈送:观察到 IP 在非标准高端口 (194[.]156.79.122:55615) 上运行 RedLine 活动。

该信息流及时、带标签的指标使分析师能够利用 VirusTotal、FOFA、Censys 和 VMRay 的沙箱等开源透视工具,从单个 IP 地址透视到更广泛的攻击链。

RedLine 是一款商品信息窃取程序,历史上曾以恶意软件即服务 (Malaware-as-a-Service) 的形式运行,用于窃取凭证、cookie 和加密货币钱包数据。

尽管 2024 年末的执法部门联合打击行动破坏了 RedLine 的核心后端,但旧版本和重新打包的变种仍然存在于环境中,并继续出现在威胁信息流中。

在这种情况下,“红线”标签被证明是一个切入点,而不是活动的最终目标。

对 VirusTotal 上 C2 通信样本的快速检查发现了最近的电子邮件样本;这些电子邮件样本讲述了一个不同的故事:针对韩国大型海事和工业锅炉制造商康林重工的定制商业电子邮件入侵 (BEC) 诱饵信息。

据 VMRay 称,UniqueSignal 提供持续不断的新鲜独特的指标流,每个指标都带有时间戳和上下文信息标签。

关键的取证转折点凸显了调查技术的重要性。分析人员使用 VMRay 沙箱捕获了 C2 服务器的 HTTP 响应,并将 Microsoft-HTTPAPI/2.0 服务器字符串与不寻常的端口 55615 相结合,构建了一个选择性指纹。

FOFA 查询在 85[.]17.40.98:55615 上发现了一个已确认的 RedLine C2;虽然 RedLine 的足迹本身并没有提供更多信息,但与该主机通信的文件包括来自韩国的 .eml 和 .msg 提交。

这些通过电子邮件发送的诱饵冒充合法供应商,并以货运和物流为借口;附件中的 ZIP 文件指向 Formbook,这是一个作为服务出售的独立信息窃取程序。

该行动的目标范围狭窄,且以特定行业为借口,表明其采用的是精准的网络钓鱼策略,而不是广泛的恶意垃圾邮件。

由于有效载荷可以丢弃,防御者的关注点从恶意软件转移到了分发基础设施。通过检查发件人地址和被动DNS记录,可以将被入侵或伪造的合法发件人与明显由攻击者注册的域名区分开来。

krysegroupllc[.]online 是一个冒充 Kryse Group 的网站,于 2025 年中期注册,事实证明这是一个成功的策略。通过 FOFA 和 Censys 查询,将主机提供商遥测数据(TheHost LLC)与独特的 Apache/ OpenSSL 服务器横幅进行匹配,揭示了一种一致的主机托管模式。

证书和主机透视随后揭示了另外七个欺诈域名(例如 acasiallc[.]shop 和 ansysllc[.]shop),这些域名映射到用于电子邮件分发的特定 IP 地址。

这项调查清楚地说明了为什么现代威胁情报要将高保真信息源与有条不紊的分析相结合:来自 UniqueSignal 的单个 IOC 变成了一个指纹,通过 VirusTotal、FOFA、Censys 和沙箱遥测进行扩展后,揭露了一场有针对性的海上 BEC 活动。对于防御者来说,战术教训很简单:优先考虑及时获取信息源,从运行时工件(服务器横幅、非标准端口、独特的 HTTP 标头)构建选择性指纹,并将防御重点从有效载荷转移到分发基础设施,因为阻止分发基础设施可以带来更大的长期防御效益。

| | | | — | — | | 1 | acasiallc[.]shop | | 2 | ansysllc[.]商店 | | 3 | softinsallc[.]online | | 4 | amdocsllc[.]shop | | 5 | taicom[.]top | | 6 | cimentosservices[.]online | | 7 | epsilongroup[.]online | | 8 | 185[.]252.24.78 | | 9 | 185[.]252.24.52 | | 10 | 185[.]252.24.74 | | 11 | 176[.]114.8.101 | | 12 | 91[.]108.82.73 | | 13 | 91[.]108.82.101 | | 14 | 176[.]114.8.90 |


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:暗镜 ZM ZM《黑客利用 RedLine C2 基础设施攻击韩国海事行业》

评论:0   参与:  0