近期，深盾实验室在运营工作中发现Github存在一个钓鱼项目，截止到分析日期已有96 stars，15forks。

Jar包分析

在jar包静态代码块中调用了SuoMemProxy::initView函数，并在initView函数中判断系统类型随后进入到suo5Version函数中

在suo5Version函数中首先从资源图片中提取压缩的字节码，再通过decodeGzipHex函数解压缩，随后将字节码转换为类并调用其中的run函数，可以在外部重写showIcon、decodeGzipHex函数之后将提取出来的class保存到文件中，保存之后反编译内容如下：

run函数中将变量var1解码之后保存到Temp目录下的microsoft10192*.cache该文件实际为attach.dll，之后通过System.load函数加载该文件，随后使用enqueue函数执行传入run函数的Shellcode。

Shellcode分析

将提取出来的shellcode转换成exe导入x64dbg中，发现shellcode存在大量解密行为，边解密边执行：

解密之后连接C2地址：45.76.176.189通过https访问/jquery-3.7.0.min.js

返回数据为html页面，猜测服务器数据已修改导致返回数据无效，而该样本则是持续向服务器发送请求。

https://45.76.176.189/jquery-3.7.0.min.js

https://45.76.176.189/jquery-3.8.0.min.js

FC0669C42C96FB9008FAAB07D5B8C4F3

9cb293e9438491d944ff9bad8643d6ff(白)

ac775fb845196b43396af1705ff9b5c3(白)

1、不要打开来历不明的邮件及其里面的附件或链接。

2、使用开源文件时先分析是否存在后门。

3、安装杀软并保持更新。

【深信服统一端点安全管理系统aES】

已支持查杀拦截此次事件使用的病毒文件，请更新软件（如有定制请先咨询售后再更新版本）和病毒库至最新版本，并接入深信服安全云脑，及时查杀新威胁；

【深信服下一代防火墙AF】的安全防护规则更新至最新版本，接入深信服安全云脑，“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库，接入深信服安全云脑，并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标，通过将用户安全设备接入安全运营中心，依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式，围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务，快速扩展持续有效的安全运营能力，保障可承诺的风险管控效果。