Palo Alto Networks 旗下的 Unit 42 最近披露了最新一轮针对加密货币开发者的 “慢双鱼”(Slow Pisces)攻击活动。攻击者伪装成招聘人员,通过 LinkedIn 接触目标,并发送伪装成编程挑战的恶意软件。当受害者尝试完成该挑战时,无意中运行了被植入的恶意项目,从而使其系统感染了 RN Loader 与 RN Stealer。
在此次攻击中,Unit 42 共识别出 54 个入侵指标(IoCs),包括 27 个域名和 27 个 IP 地址。WhoisXML API在此基础上进一步扩展,发现了多组可能相关的网络痕迹:
- 来自 Internet Abuse Signal Collective(IASC)的 12 条疑似受害者 IP 记录,涉及 5 个自治系统(ASN)
- 551 个与邮件关联的域名
- 1 个额外恶意 IP 地址
- 179 个通过 IP 关联的域名
- 389 个通过字符串匹配的域名,其中 3 个被确认为恶意
我们在分析中获得的部分新增关联信息样本现已可通过我们的网站下载
深度解析 “慢双鱼” 攻击的 IoC 指标
我们的威胁调查首先聚焦于 Palo Alto Networks Unit 42 所披露的 54 个入侵指标(IoCs),并对其进行了深入分析。
我们首先利用Bulk WHOIS API对其中的 27 个域名进行查询。结果显示,仅有 26 个域名拥有当前的 WHOIS 记录。进一步分析发现:
- 这 26 个域名的注册时间集中在 2024 至 2025 年之间
- 其中 23 个域名注册于 2024 年,3 个注册于 2025 年
- 这 26 个域名均由 Namecheap 注册商管理。
- 其中有一个域名的注册国家信息缺失,其余 25 个域名的注册地则分布在两个国家:23 个域名注册于冰岛(Iceland),2 个域名注册于美国(U.S.)
随后,我们使用DNS Chronicle API对这 27 个 IoC 域名进行了历史解析查询。结果显示,其中 24 个域名拥有历史域名解析记录,共涉及 239 次 IP 解析事件。
其中,域名 leaguehub[.]net 的解析次数最多,共有 67 次,并且其首次解析时间最早,可追溯至 2017 年 2 月 6 日。
以下是另外五个域名的详细解析情况:
| 域名 | 解析次数 | 首次 IP 解析时间 |
| bitzone[.]io | 30 | 2020年6月6日 |
| coinhar[.]io | 1 | 2025年3月27日 |
| getstockprice[.]info | 1 | 2025年1月8日 |
| logoeye[.]net | 1 | 2024年10月9日 |
| stocksindex[.]org | 16 | 2017年2月7日 |
考虑到域名 bitzone[.]io 虽然注册时间为 2024 年 4 月 25 日,但其首次解析到 IP 地址的时间却早于此,发生在 2020 年 6 月 6 日,这表明该域名可能近期被重新注册。类似情况也发生在 stocksindex[.]org,其注册时间为 2024 年 9 月 11 日,而首次解析记录却在 2017 年 2 月 7 日。
随后,我们对 27 个被识别为入侵指标(IoCs)的 IP 地址进行了 Bulk IP 地理位置查询,结果显示:这些 IP 地址分布于 12 个国家,其中以 荷兰 数量最多,共有 9 个 IP 地址, 法国、波兰和英国各有 3 个 IP 地址,芬兰拥有 2 个 IP 地址,加拿大、捷克、德国、葡萄牙、罗马尼亚、塞尔维亚和美国各有 1 个 IP 地址
- 在这 27 个入侵指标(IoCs)IP 地址中,只有 21 个 IP 地址有对应的互联网服务提供商(ISP)记录。具体来看,4 个 IP 地址由 M247 管理,3 个 IP 地址由 The Constant Company 管理,Aéza、Hostwinds、IPCONNECT 和 Net Solutions 各管理 2 个 IP 地址,ARTNET、Hydra Communications、HZ-NL、IP Volume、OVHcloud 及 Psychz Networks 各管理 1 个 IP 地址。
针对27个被识别为IoC的IP地址,我们通过DNS Chronicle API进行了查询,发现其中22个IP地址拥有历史IP地址与域名的解析记录。具体来说,这22个IP地址共记录了2,011条解析记录。IP地址54[.]39[.]83[.]151的解析记录数量为239条,且该IP的最早解析日期为2019年10月17日。以下是另外五个IP地址的详细信息。
| IP地址 | 解析次数 | 首次域名解析时间 |
| 185[.]62[.]58[.]74 | 678 | 2020年4月18日 |
| 195[.]133[.]26[.]32 | 14 | 2021年11月19日 |
| 5[.]206[.]227[.]51 | 227 | 2020年5月29日 |
| 91[.]193[.]18[.]201 | 28 | 2022年1月28日 |
| 91[.]234[.]199[.]90 | 139 | 2023年1月24日 |
此外,利用研究人员从 IASC 获取的样本 NetFlow 数据,我们对三个 IP 地址进行了进一步分析。这些 IP 地址被确认作为与该威胁相关的指挥控制(C&C)服务器。通过额外的 Bulk IP 地理位置查询,样本数据揭示了 12 条疑似受害者 IP 记录,这些 IP 归属于在五个自治系统(ASN)下运营的四家互联网服务提供商(ISP)。
在这些入侵指标(IoCs)IP 地址中,91[.]103[.]140[.]191 最为引人关注。该 IP 地址向某疑似受害者 IP 发送了数据 10 次,并在近四周内从该受害者 IP 接收了 7 次数据。同时,在我们的数据样本中,该源 IP 通过端口 443(HTTPS) 进行通信的频率最高。
扩展“慢双鱼”(Slow Pisces)攻击的 IoC 列表
我们首先通过WHOIS 历史记录API查询了已识别的 27 个域名 IoC,从中发现其中有 11 个域名的历史 WHOIS 记录中包含了 44 个电子邮件地址(去重后)。进一步分析这 44 个邮箱地址后发现,其中有 7 个为公共邮箱地址。
随后,我们利用反向WHOIS API查询这 7 个公共邮箱地址,结果显示虽然这些邮箱地址均未出现在任何域名的当前 WHOIS 记录中,但其中 6 个邮箱曾出现在多个域名的历史 WHOIS 记录中。经过去重及排除已识别为 IoC 的域名后,这 6 个公共邮箱地址关联出了 551 个邮件相关域名。
接着,我们使用 DNS 查询 API 对这 27 个域名进行了查询,发现其中有 8 个域名仍在积极解析到 IP 地址。将这些解析结果与之前识别的 27 个 IoC IP 地址进行对比并去重后,仅新增了一个 IP 地址:199[.]59[.]243[.]228。
这篇文章仅展示了完整研究的部分内容。您可以访问我们的网站下载完整报告及部分附加材料样本,或联系我们,讨论您在威胁检测与响应及其他网络安全应用方面的情报需求。
免责声明:我们对威胁检测持谨慎态度,旨在提供相关信息以帮助防范潜在风险。因此,部分被标识为“威胁”或“恶意”的实体,经过进一步调查或情境变化后,可能被判定为无害。我们强烈建议进行额外调查,以验证本文所提供的信息。
扫一扫
814
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
