近期，监测发现境外黑客组织通过直接投递NUITKA打包的python样本，或投递chm文件加载NUITKA打包的python样本进行投毒。用户点击后，样本会下载后续后门组件。该后门组件主要功能是执行cmd指令。攻击者通过远程执行cmd指令，从而进行以下操作：获取系统基本信息、后续后门组件下载、下载python脚本执行套件、下载窃密组件等。

相关IOC如下，可参考进行排查：

MD5：

397591dd098f9240684f9a999e38eb12

23f5e51bf6d540553aa88c48480450a8

d286d439393bde76b734bd3406628d47

ab17051365bb75c2fd4637b0d560a312

e7c535d2ef05405870923204dd5829d6

b33c8f6a2bebe8d6a41bff851a45f35f

13209c997f62c6c6934bc3f20a6adbd8

017eb0e90e70a48e3b57f9c315e280f5

C2&URL:

89.46.236[.]152:443

https://domainnamevalidator[.]com/uploads/taskhost

213.111.185[.]78:443

https://domainregistationcheck[.]com/uploads/b1

https://151.236.4[.]164:5010

getserviceupdates[.]com

http://46.30.191[.]221/host.txt

http://46.30.191[.]221/MsEdge

http://46.30.191[.]221/taskhost

http://46.30.191[.]221/appv1.exe

http://46.30.191[.]221/input.txt

http://46.30.191[.]221/ppersis.py

http://46.30.191[.]221/pw.exe

http://46.30.191[.]221:8080/get-pip.py

http://46.30.191[.]221/cf.py

http://46.30.191[.]221/ppp.py

89.31.121[.]220:443

建议用户积极开展自查工作，督促全体人员强化网络安全防范意识，切勿执行未知样本或点击来历不明的链接等操作。