APT-C-35(360)/APT-Q-38(奇安信)样本分析

360内部编号：APT-C-35

奇安信内部编号：APT-Q-38

从AppAnyRun通过哈希值下载到样本

沙箱分析文件行为

该EXE样本图标被伪装为PDF

DIE发现该可执行文件存在签名，查看其签名为Ebo Sky Tech Inc

发现其签名证书公司在苹果商店也曾上线过应用(

该SSL签名证书早在4月份便被MalwareHunterTeam在推上曝光过被该恶意组织利用

IDA对程序进行静态分析，程序首先获取了控制台窗口句柄，而后使用 SW_HIDE 隐藏控制台窗口

先分析函数sub_672FE0()，这个函数采用互斥锁以单例模式初始化全局变量

其中sub_671B00()中存在大量二进制0101字符串，以这种方式编码的字符串其中一部分是用于异或解密的key，这些key被用来还原样本导入的API名称等字符串

根据之前沙箱动态分析结果，字符串交叉引用，定位到核心恶意功能的实现函数

构建恶意任务计划命令

每10分钟执行一次

实际运行效果（当然这里是被ESET拦截了，但由于其对应C&C服务器已下线，目前暂不重溯其后半脚本攻击流程

未完待续

Reference

[2] https://www.qianxin.com/threat/reportdetail?report_id=335

[3] https://www.nsfocus.com.cn/html/2025/92_0407/227.html