针对“Telegarm语言包安装程序”远控木马的持续追踪

在上一篇追踪报道发出后

今日，本人发现病毒的原远控服务器dabaicaicca.com的IP地址由45.125.217.19更换为了45.125.217.45，IP段相同

通过对45.125.217.45的挖掘，查询威胁情报发现，该IP曾绑定域名dabaicaijja.com，

查询dabaicaijja.com的威胁情报，本人发现了更多的样本，不过文件名称均未伪装成“Telegarm语言包安装程序”，文件名很散乱，但是确实都是木马程序和远控木马，并且存在强烈的同源性，样本恶意行为基本一致继续挖掘，又发现了dabaicaiffa.com同样既绑定了IP 45.125.217.45，也曾绑定过IP 45.125.217.19

通过挖掘dabaicaiffa.com，又发现了高度同源恶意样本情报

进一步对45.125.217.45发现的样本进行挖掘，发现该病毒制作者曾用过同样的手法，同样是仿冒国外的社交软件——Potato：以样本11902186062ef9a19ab030eeb5159c15420a20136843fae715fe9a0e443a6331为例，我们发现样本同时连接45.125.217.45和另一个IP地址103.98.112.54，并且尝试下载hxxp://103.98.112.54/Potato.txt （疑似已挂）。样本运行后图片如下图所示：

Ioc：

dabaicaijja.com

dabaicaicca.com

dabaicaijja.com

103.98.112.54

45.125.217.19

45.125.217.45