对比黑产组织之前的攻击样本和最新的攻击样本，如下所示：

最新的攻击样本，导入函数如下所示：

通过动态分析，发现前面的部分代码与此前旧样本的攻击代码基本一致，访问腾讯的ntp服务ntp5.tencent.com的方式进行反调试，同时最新的攻击样本还使用了一些反虚拟机反沙箱的技巧，旧样本的相关代码，如下所示：

然后在内存中解密出shellcode代码，如下所示：

将解密出的shellcode代码注入到进程当中，如下所示：

调用注入的shellcode代码，如下所示：

解密出来第一段shellcode代码，如下所示：

第一段shellcode会加载后面的DLL模块文件，如下所示：

DLL模块文件核心代码，如下所示：

加载执行DLL模块之后，解密出第二段shellcode代码，如下所示：

解密出来第二段shellcode代码，如下所示：

发现该段shellcode代码里面包含HWSyscalls代码，如下所示：

HWSyscalls代码地址:

https://github.com/ShorSec/HWSyscalls，

该shellcode解密出Payload后门，如下所示：

通过分析该Payload为AsyncRAT后门，如下所示：

远程服务器域名地址为：

no2.agentwindows.college、webwhatsapp.cc，如下所示：

配置信息解密代码，如下所示：

样本在虚拟机中运行之后，直接退出了，使用了反虚拟机手段，查壳发现样本使用了ENIGMA(5.X)[-]壳加密，如下所示：

脱壳之后，如下所示：

相关反沙箱代码如下所示：

检测系统内存反虚拟机，如下所示：

遍历Temp目录下的文件数反虚拟机，如下所示：

通过时间间隔来反虚拟机，如下所示：

在内存中解密出来Payload，如下所示：

调用该Payload模块的Load函数，如下所示：

Load导出函数，如下所示：

创建相关的恶意文件存放目录，如下所示：

从黑客服务器URL:

http://67.211.72.49/Multifile.zip下载恶意文件压缩包，如下所示：

通过密码:

M2SYVcMwVsYU2arfmXchl226fzHU4d4M解密压缩包文件，然后再读取解密压缩包的文件内容，如下所示：

解压后的文件，如下所示：