微步情报局监测发现，近日有攻击者以国内安全产品远程代码执行漏洞为诱饵，在 Github 网站传播带有远控木马的恶意脚本，建议相关企业关注此类攻击手法，并根据附件 IOC 及时排查相关企业/部门内部是否存在相关网络威胁，保护自身安全。

微步在线安全 TDP/TIP 已支持对此次攻击事件的检测，如需协助，请与我们联系：[email protected]。

核实发现，该项目由名为 FuckRedTeam 的 github 用户于2022年7月24日18时发布[2]，号称为国内某安全厂商产品的远程执行漏洞脚本。

而对相关代码排查发现，该项目会从 python 常用 UserAgent 库中加载名为 “fake_useragant” 模块，而该模块系伪装合法的 “fake_useragent”( 字母e替换为a)。

通过 Pypi 官方网站查询发现[3]，伪装代码 “fake_useragant” 于2022年7月20日上传（目前已被删除，但部分国内下载源已经同步且可下载），上传者昵称为 “Join”，注册时间为2022年7月11日。

进一步分析发现，该模块包中的 urllib2.py 文件存在可疑代码；

对其进行解码，连接 i.miaosu.bid/data/f_35461354.png 下载图片进行解码；

其图片地址: http://i.miaosu.bid/data/f_35461354.png；

进行多次 AES 解密；

最后通过进行线程执行解密，其解密代码通过 icmp 隧道与 C&C 服务器120.79.87.123 通信以获取下一步 payload。

其返回数据返回值 data 第一位必须为0x1才进行正式解密并进行下一步操作

[2] https://github.com/FuckRedTeam

[3] https://pypi.org/search/?q=fake-useragant