人面狮行动是活跃在中东地区的网络间谍活动，主要目标可能涉及到埃及和以色列等国家的不同组织目的是窃取目标敏感数据信息。活跃时间主要集中在2014年6月到2015年11月期间相关攻击活动最早可以追溯到2011年12月。主要采用利用社交网络进行水坑攻击截止到目前我总共捕获到恶意代码样本314个，C&C域名7个

人面狮样本将主程序进行伪装成文档诱导用户点击，然後释放一系列的dll根据功能分为9个插件模块，通过注册资源管理器插件的方式来实现核心dll自启动然后由核心dll根据配置文件进行远程dll注入，将其他功能dll模块注入的对应的进程中所以程序运行的时候是没有主程序的。用户感染后比较难以发现且使用多种加密方式干扰分析，根据PDB路径可以看出使用了持续集成工具从侧面反映了项目比较庞大，开发者应该为专业的组织

进一步我们分析推测人面狮行动的幕後组织是依托第三方组织开发相关恶意软件，使用相关恶意软件并发起相关攻击行动的幕后组织应该来自中东地区

，并被添加「 」标签 最后修改于 01:43:54