从“SharkLoader”看信息安全防护的全景图——职工安全意识提升指南

头脑风暴:若我们把网络攻击比作一场无声的暗流,哪几座“大坝”最容易被冲垮?
1️⃣ 供应链的“木马敲门”——攻击者伪装成合法更新,潜入企业内部;

2️⃣ 公共服务的“遥控炸弹”——利用已公开的漏洞(如 ProxyLogon)直接从外部“投弹”;
3️⃣ 内部账户的“隐形窃贼”——通过 LSASS、NTDS 抽取凭证,静悄悄地打开后门;
4️⃣ AI 赋能的“自学习猎手”——自动化脚本在侵入后自行搜集情报、部署持久化。

下面,我们围绕上述四个典型场景,结合Kaspersky近期披露的 SharkLoader(代号 StrikeShark)攻击链,展开全景式案例剖析。希望通过真实而震撼的细节,让每一位同事在阅读的瞬间,感受到“安全不是技术人的事,而是全员的责任”。


案例一:伪装更新的“海鲨”——SharkLoader 通过假冒 Google Update 与 Cisco AnyConnect 渗透

事件概述

2026 年 6 月,Kaspersky 报告称,一批名为 SharkLoader 的新型加载器被植入伪装成 Google UpdateCisco AnyConnect 安装包的恶意执行文件中。攻击者将这些文件投递至目标企业的邮件或文件分享系统,一旦用户双击安装,即触发后门加载链。

攻击手法细节

  1. 诱饵包装:攻击者利用合法软件的视觉元素(图标、版本号、签名信息),让普通用户误以为是系统必须的更新。
  2. Dropper 机制:执行文件内部嵌入一个自解压的 PE(Portable Executable)文件,解压后生成 SystemSettings.exeSystemSettings.dll
  3. 完美 DLL 劫持(Perfect DLL Hijacking):通过将 SystemSettings.dll 放置于系统搜索路径的前置目录,实现对 SystemSettings.exe 加载过程的劫持,绕过 Windows Loader 锁。
  4. 后续 Cobalt Strike 部署:在劫持的 DLL 中,SharkLoader 解密并加载 DscCoreR.mui,进而在受限线程中注入 Cobalt Strike Beacon,完成对受害主机的完全控制。

教训与启示

  • 更新渠道必须验证:任何系统或第三方软件的更新,都应通过官方渠道、数字签名以及哈希校验进行二次确认。
  • 执行文件来源审计:不应随意打开来源不明的可执行文件,尤其是来自内部共享盘、外部邮件的压缩包。
  • 最小权限原则:普通员工账户不应拥有安装系统级服务的权限,防止恶意 Dropper 获得系统特权。

金句:安全的“防火墙”不只在网络边界,更在每一次点击之间。


案例二:公开漏洞的“遥控炸弹”——利用 ProxyLogon 与 GeoServer RCE 打通后门

事件概述

SharkLoader 攻击链的第一道门槛是 初始访问,其中两大常见入口分别是 CVE‑2021‑26855(ProxyLogon)CVE‑2024‑36401(GeoServer 远程代码执行)。攻击者在公开的漏洞库或 GitHub 上下载 PoC,针对目标组织的 Exchange Server 与 GeoServer 进行自动化攻击。

攻击手法细节

  1. 漏洞扫描:使用公开的 NMAP、Shodan 脚本,对全网进行 Exchange 与 GeoServer 资产的快速指纹识别。
  2. 利用链构建
    • ProxyLogon:借助 SSRF(服务器端请求伪造)获取 OWA(Outlook Web Access)管理权限,随后写入 web shell。
    • GeoServer RCE:直接上传恶意的 .jar 包,触发 ClassLoader 加载,实现任意代码执行。
  3. Web Shell 部署:攻击者在受害服务器根目录放置 wso2shell.aspxc99.php 等经典 web shell,用于后续的文件下载、命令执行。
  4. 横向移动:凭借已获取的服务器权限,利用内部网络的信任关系(如 LDAP、SMB)进一步渗透至工作站,交付 SharkLoader。

教训与启示

  • 及时打补丁:针对已公开的高危 CVE,必须在厂商公布补丁后 48 小时内完成部署。
  • 资产可视化:建立完整的外部暴露资产清单,尤其是邮件、GIS、协同平台等经常被忽视的系统。
  • 入侵检测即早预警:部署基于行为的 IDS/IPS,检测异常的 Web Shell 请求或异常的 HTTP 方法(如 PUTDELETE)。

金句:补丁不只是 IT 的“化妆品”,更是防止黑客“拔刀相助”的根本。


案例三:内部凭证的“隐形窃贼”——LSASS 与 NTDS 抽取实现持久化

事件概述

一旦 SharkLoader 成功在工作站上植入 Cobalt Strike Beacon,攻击者立即进入 后渗透阶段。报告显示,攻击者利用 MimikatzProcDump 等工具,针对 LSASS(本地安全账户子系统)和 NTDS.dit(Active Directory 数据库)进行凭证抽取,随后将 NTLMKerberos 哈希写入 Registry RunScheduled Tasks,实现持久化。

攻击手法细节

  1. 内存转储:通过 PowerShellInvoke-Command 调用 Procdump -accepteula -ma lsass.exe lsass.dmp,将 LSASS 进程完整转储至磁盘。
  2. 凭证解密:使用 Mimikatzsekurlsa::logonpasswords 模块,直接读取 lsass.dmp 中的明文密码、哈希及 Kerberos ticket。
  3. NTDS 导出:在拥有域管理员权限的情况下,使用 NTDSUtilntdsutil.exe 导出 NTDS.dit,并利用 secretsdump.py 进行离线破解。
  4. 持久化植入:写入 HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SystemSettingsschtasks /create 创建系统任务,用于在系统启动或无用户登录时自动触发 SystemSettings.exe

教训与启示

  • 内存防护:启用 Windows 10/11 的 Credential Guard,限制普通进程对 LSASS 的访问。
  • 最小特权:严格控制域管理员凭证的使用范围,采用 Privileged Access Management (PAM),实现一次性、时间受限的授权。
  • 审计配置:开启 Advanced Auditing 中的 “凭证使用” 与 “任务计划程序操作” 项目,及时发现异常的凭证读取与任务创建。

金句:防止泄密的最好办法不是把钥匙藏好,而是让钥匙根本不被配发。


案例四:AI 与自动化脚本的“自学习猎手”——从漏洞扫描到信息搜集全链路自动化

事件概述

SharkLoader 攻击团队并非单兵作战,而是 “机器人化” 的攻击平台。报告指出,攻击者使用 GitHub 上的公开 PoC、开源 FScanSearchallPillager 等工具,形成“一键式”攻击流水线:先自动化扫描公开漏洞,随后自动化抓取目标 AD 结构、共享文件、内部文档,最后通过脚本生成针对性的 Spear‑Phishing 邮件或恶意文档。

攻击手法细节

  1. 自动化扫描:利用 Python + requests 脚本对目标 IP 段进行 CVE‑2025‑55182(React Server Components)CVE‑2023‑46747(F5 BIG‑IP) 等漏洞的批量检测。
  2. 信息搜集
    • FScan:枚举 SMB 共享、打印机、域控制器信息。
    • Searchall:遍历内部网络的文档服务器,搜集包含关键字(如 “项目计划”、“财务报告”)的文件路径。
    • Pillager:对公开的 Git 仓库进行代码泄露扫描,获取 API 密钥、内部工具二进制。
  3. 攻防对抗:攻击脚本结合 机器学习(如基于 scikit-learn 的垃圾邮件过滤模型)生成低误报的钓鱼邮件,提高打开率。
  4. 自适应实施:若某一阶段被防御系统拦截,脚本会自动切换至第二阶段(如从网络漏洞转向社工程),实现 多路径“越狱”

教训与启示

  • 零信任架构:在内部网络实施 微分段,即使攻击者成功渗透,也难以横向移动至关键资产。
  • 行为分析:部署 UEBA(User and Entity Behavior Analytics),捕捉异常的批量文件访问、异常的进程创建链。
  • AI 对抗:利用 AI 驱动的威胁情报平台(如 XDR),实时关联外部漏洞库与内部资产清单,提前预警潜在攻击路径。

金句:当攻击者拥有“自动化大脑”,防御者也必须拥有“自学习盾牌”。


进入智能体化、机器人化、自动化的融合时代——信息安全的全新挑战与机遇

1️⃣ 智能体(Intelligent Agent)已渗透到企业每一层

ChatGPT 助手到 RPA(机器人流程自动化)脚本,企业业务正被 AI 代理层层加速。与此同时,攻击者也在利用 AutoGPTLLM‑Based Malware Generator 等技术,快速生成定制化恶意代码,实现“一次开发、无限投放”。

2️⃣ 自动化攻击链的“即插即用”特征

传统攻击往往需要 手工编写手动部署,耗时数周甚至数月。如今,攻击者只需点击一次 GitHub 的 “Deploy” 按钮,整个 漏洞扫描 → 资产枚举 → 载荷生成 → C2 配置 的闭环即可完成,极大地降低了技术门槛,也让 低成熟度组织 成为首要目标。

3️⃣ 防御的升级路径:从技术防线人机协同防御

  • 技术层面:引入 SOAR(Security Orchestration, Automation and Response) 平台,实现安全事件的自动化分流、关联与响应。
  • 人员层面:强化 安全意识,让每一位职工成为“第一道防线”。只有当“人”具备基本的安全判断能力,才能在 AI 与自动化的浪潮中,抵御“AI 生成的钓鱼邮件”“机器人大批量登录”等新型威胁。

引用:古语有云,“防微杜渐,方能固本”。在数字化、智能化高速发展的今天,这句话的含义更加深远。


号召全员参与信息安全意识培训——从“认知”到“行动”的闭环

为什么每位职工都必须参加?

关键因素 对个人的影响 对组织的价值
企业资产全景 了解自己所使用的系统、服务及其风险点 形成统一的安全视图,减少盲区
社交工程防御 学会辨别钓鱼邮件、伪装文档、恶意链接 降低“人因失误”导致的入侵概率
漏洞自检 掌握基本的系统补丁检查、权限审计方法 提前发现并阻断潜在攻击链
应急响应 熟悉报告流程、初步取证步骤 在事件发生时,能够快速定位、遏制扩散
AI 时代的安全素养 认识 LLM、自动化脚本的双刃剑属性 在技术创新的同时,保持警觉与合规

培训安排(示例)

时间 主题 内容要点 互动环节
第 1 天(上午) 信息安全入门 安全基本概念、攻击者思维模型、常见威胁 疑似钓鱼邮件现场演练
第 1 天(下午) Patch 管理与漏洞防护 漏洞生命周期、补丁快速部署流程、实战案例(如 ProxyLogon) 小组现场演练漏洞扫描与补丁验证
第 2 天(上午) 凭证安全与最小特权 LSASS 防护、Credential Guard、PAM 引入 角色扮演:在模拟 AD 环境中进行凭证抽取与防御
第 2 天(下午) AI 与自动化威胁 LLM 生成恶意代码、自动化攻击工具链、零信任实现路径 在线 CTF:防御自动化脚本的入侵
第 3 天(全天) 实战演练与红蓝对抗 综合演练:从钓鱼邮件到持久化、横向移动、阻断 红蓝对抗赛:红队模拟 StrikeShark 攻击,蓝队实时防御

温馨提示:所有培训均采用 混合式学习(线上自学 + 线下面授),兼顾工作弹性与学习深度。完成培训并通过考核的同事,将获得 《企业安全守护者》 电子证书,并可在公司内部安全积分系统中兑换 专业培训、技术书籍 等福利。

我们的期待

  1. 每位职工 能在日常工作中主动检查系统更新、识别异常行为。
  2. 每个部门 能将安全流程嵌入业务 SOP,形成“安全即流程”的闭环。
  3. 公司整体 通过 安全意识指数(每季度测评)提升至 90% 以上,并在行业安全评级中保持领先。

结语
信息安全并非“一次性的项目”,而是一次持续的自我教育与自我审视。正如《左传》所言,“敏而好学,不耻下问”。在智能体化、机器人化、自动化的浪潮里,只有不断学习、不断演练,才能把“黑客的脚步声”转化为“安全的鼓点”。让我们一起加入即将开启的培训,携手把“SharkLoader”这条暗流彻底驱散,让企业的每一台机器、每一位同事、每一道业务流程,都成为坚不可摧的安全壁垒。

让安全成为我们的共同语言,让防御成为我们的共同习惯!


我们相信,信息安全不仅是技术问题,更涉及到企业文化和员工意识。昆明亭长朗然科技有限公司通过定制化的培训活动来提高员工保密意识,帮助建立健全的安全管理体系。对于这一领域感兴趣的客户,我们随时欢迎您的询问。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

让“看不见的门”不再敞开——从真实案例到数字化时代的安全新航路

“天下大事,必作于细”。——《礼记·大学》
在信息技术飞速发展的今天,很多安全问题并非一朝一夕,而是潜伏在代码、依赖、工作流的细枝末节之中。只有把这些细节变成每位职工的警觉与自觉,才能让企业的数字化航船驶向安全的彼岸。


Ⅰ、头脑风暴:如果黑客已经站在你面前会怎样?

在写下这篇文章之前,我让自己在脑海里进行了一场“黑客的日常”头脑风暴,试图站在攻击者的角度想象他们的“作业”。以下两幅情景图,既是警示,也是学习的切入口。

案例一:“Miasma”雨后春笋式的供应链毒药

2026 年 6 月,某大型云原生平台的开发团队在日常更新依赖时,意外从 npm 官方仓库下载了 [email protected]。这看似普通的身份认证库,实则被植入了 binding.gyp 安装钩子,借助 Node‑Gyp 编译阶段下载并执行了一个名为 Bun 的运行时,随后启动了隐蔽的信息窃取模块。黑客利用被窃取的 GitHub OIDC 令牌,进一步在 CI/CD 环境中注入名为 “Run Copilot” 的恶意工作流,持续抽取 CI 运行时的密钥、AWS 访问凭证,甚至对企业内部的其他仓库进行横向渗透。

关键点
1. 攻击者在 6 秒窗口内利用被窃取的 npm 令牌发布恶意版本;
2. 利用 binding.gyp 实现 install‑time execution,躲过了大多数静态依赖检查;
3. 通过 GitHub Actions secret theftAI 代码助手持久化,把攻击面延伸至开发者本地 IDE 和云端流水线。

案例二:“SolarWinds”式的内部系统后门

回想 2020 年的 SolarWinds Orion 供应链攻击,黑客在 Orion 的更新包中植入后门,使得全球数千家企业的网络管理平台被远程控制。虽然案例时间早于 Miasma,但其核心逻辑——依赖合法渠道、伪装正常更新、一次植入、全网横向——在今年的 npm、GitHub Action、Go 模块攻击中屡见不鲜。

关键点
1. 攻击者先渗透供应链内部的 构建服务器,获取签名密钥;
2. 通过 代码签名可信证书 隐匿恶意代码,骗过企业的安全审计;
3. 利用 持久化后门定时任务,实现长期潜伏与数据外泄。

这两个案例共同告诉我们:“供应链即是攻击的第一道门”。当门被打开,后续的所有系统、数据、人员都可能沦为攻击的跳板。下面,我们将从技术细节、危害评估、以及防御策略层层剖析,帮助大家把抽象的威胁具象化、可操作化。


Ⅱ、深度剖析:Miasma 家族的进化之路

1. 攻击链全景图

1️⃣ 凭证窃取:攻击者通过钓鱼、密码重用、公开泄露等方式获取 npm 维护者令牌GitHub OIDC Token,为后续发布恶意包做准备。

2️⃣ 快速发布:利用被盗的 npm token,在 6 秒窗口内在官方仓库发布带 binding.gyp 的恶意版本。

3️⃣ 安装执行:开发者在 npm installyarn add 时,触发 node-gyp 编译,执行恶意 binding.gyp 脚本,下载并部署 Bun 运行时。

4️⃣ 加载器激活:Bun 运行时启动后,加载 JavaScript loader,从 C2 服务器拉取完整的 Miasma 主体。

5️⃣ 信息收集:Payload 检测本地安全软件、语言环境、Git 配置,重点盗取 GitHub Secrets、AWS AccessKey、Docker Credential 等关键凭证。

6️⃣ 行动指令:将收集到的密钥加密(AES‑128‑GCM)后,上传至 公共 GitHub Repo(描述 “Alright Lets See If This Works.”),或直接通过 HTTPS POST 发送至 C2。

7️⃣ 横向扩散:利用窃取的凭证,force‑push 恶意提交至 codfish/semantic-release-action,并将多个受影响的 npm 包的 tag 重定向至恶意 commit,实现 CI/CD 工作流 的自动化感染。

8️⃣ 持久化:在受感染的仓库中创建 “Run Copilot” GitHub Action,持续监控并窃取新生成的 OIDC 令牌,实现 长期潜伏

2. 技术亮点与创新点

技术点 传统攻击手法 Miasma 新增/变异
依赖包装 通过 postinstall 脚本执行恶意代码 采用 binding.gyp,利用原生编译过程执行,规避 npm 规范检测
运行时检查 检测 Windows / Linux 系统 增加 俄语本地化 杀手开关与安全软件探测,针对性规避当地防御
AI 助手持久化 未涉及 利用 BunAI 代码助手(如 Copilot)注入代码片段,实现 IDE 持久化
暗链通知 简单 C2 回连 使用 GitHub dead‑drop(“firedalazer”)查询匹配特征的 commit,隐藏在公开仓库内
加密 exfil 明文或 Base64 使用 AES‑128‑GCM 加密后上传,提升窃取数据的保密性

3. 受影响的关键资产

  • 开发者本地机器:通过 npm 安装时被动感染。
  • CI/CD 平台(GitHub Actions、GitLab CI、Jenkins):工作流被植入 “Run Copilot”,导致构建机泄密
  • 云资源账户(AWS、Azure、GCP):凭证被窃取后,可在云上创建 后门服务器持久化 Lambda
  • 第三方依赖用户:使用受感染的 npm 包或 Go 模块的所有下游项目,都可能被连环感染。

Ⅲ、从案例到防御:我们该如何筑牢数字化防线?

1. 凭证管理再升级

  • 最小化权限:为 npm、GitHub、CI 平台生成 一次性、最小权限令牌,并定期轮换。
  • 多因素认证 (MFA):强制所有维护者打开 MFA,防止凭证泄露后被直接利用。
  • Secret Scanning:在代码审查阶段使用 GitHub Secret ScanningGitleaksTruffleHog 等工具,快速发现硬编码凭证。

2. 依赖安全全景监控

  • SBOM(软件物料清单):在每次构建时生成 SBOM,记录所有直接、间接依赖的哈希值。
  • SCA(软件组成分析):集成 Snyk、Dependabot、OSS Index 等 SCA 平台,实时监控已知漏洞与恶意发布。
  • 签名验证:对关键依赖采用 SigstoreOpenSSF 提供的 签名校验,确保下载的包未被篡改。

3. CI/CD 工作流的“血脉”防护

  • 最小化 Secret 暴露:只在需要的步骤中注入 secret,使用 GitHub Environments 控制权限。
  • 作业限制:为每个工作流设置 runtime‑limits(时间、资源、网络),限制恶意代码的活动范围。
  • 安全审计流水线:在 pull request 合并前,强制执行 Static Application Security Testing (SAST)Dynamic Application Security Testing (DAST)Container Image Scanning

4. IDE 与 AI 助手的安全治理

  • 插件白名单:仅允许经批准的 VS Code 插件、IDE 自动化脚本运行。
  • Prompt Injection 防御:对接 AI 编码助手时,设定 prompt 过滤输出审计,防止恶意指令注入。
  • 本地沙箱:在本地机器上使用 容器化(Docker)虚拟机 执行不可信代码,隔离系统环境。

5. 应急响应与取证准备

  • 日志统一化:将 npm install logsGitHub Actions audit logs云审计日志统一推送至 SIEM(如 Splunk、Elastic)并开启 异常行为检测
  • 快速回滚:对受影响的依赖发布 回滚版本,并在内部仓库设置 阻止特定版本的策略。
  • 取证链:保留 构建产物、依赖清单、凭证使用记录,确保在发生安全事件时能够快速定位根因。

Ⅳ、数字化、数智化、自动化——安全挑战的“新三层”

1. 自动化带来的 “速度” 风险

在自动化部署、IaC(基础设施即代码)和 “GitOps” 的浪潮中,代码即配置的理念让交付速度飞跃式提升,却也让 一次失误 能在数千台机器上瞬间复制。Miasma 正是利用 CI/CD 的高速迭代特性,以 秒级发布方式完成供应链污染。

警示:速度不等于安全,自动化的核心应是 “安全即自动化”

2. 数智化时代的 “智” 隐患

AI 编码助手、自动化漏洞修复(如 GitHub Copilot X)在提升研发效率的同时,也带来了 Prompt Injection模型投毒 的新风险。攻击者通过精心构造的依赖包或恶意提示,引导 AI 生成带有后门的代码。

智慧的另一面:当机器“听话”时,同样也会听从恶意指令。

3. 数字化转型的 “全局” 视角

企业正从 单体业务平台化、微服务 迁移,服务之间的 API 消息队列事件总线 形成了高度耦合的网络。一次供应链污染可能导致 跨业务链 的连锁反应,形成 “系统性风险”

全局思考:安全必须从 单点防护 升级为 全链路可视化零信任


Ⅴ、号召:让每位职工成为安全的第一道防线

“千里之堤,溃于蚁穴。”——《韩非子·外储说外》
同样的道理也适用于我们的信息系统。每一次 npm install、每一次 Pull Request、每一次 CI 运行,都是潜在的“蚁穴”。只有让每一位同事都具备 安全意识、检测能力与应急响应 的素养,才能把这些蚁穴堵死。

1. 即将开启的安全意识培训

  • 培训主题:从供应链攻击到 AI 助手安全,全链路防御实战
  • 培训形式:线上微课(30 分钟)+ 现场案例研讨(1 小时)+ 实战演练(渗透演练、CTF 赛)
  • 培训对象:全体研发、运维、测试、产品、项目管理人员,尤其是 npm / GitHub Actions 使用者
  • 培训目标
    1. 能识别 恶意依赖异常工作流
    2. 能在 代码审查CI 配置 中发现并阻止 凭证泄露
    3. 能快速定位 供应链攻击 的根因并执行 应急回滚

一句话总结“学会发现隐形门,才能把门锁好”。

2. 参与方式与激励机制

  • 报名入口:公司内部门户 → “安全与合规” → “信息安全意识培训”。
  • 积分奖励:完成培训并通过考核的同事,可获得 安全积分,用于公司内部 “数字商城” 兑换礼品(如硬件钱包、智能手环)。
  • 优秀案例:我们将评选 “最佳防御实践”,对在实际工作中成功阻止供应链攻击的团队给予 表彰与奖金
  • 持续学习:培训结束后,平台将持续推送 Monthly Threat Brief(每月威胁简报),帮助大家保持对新型威胁的敏感度。

3. 让安全成为企业文化的一部分

  • 安全例会:每周一次的 安全 Stand‑up,由安全团队分享最新威胁情报、案例剖析和工具使用经验。
  • 安全星计划:设立 “安全星” 称号,表彰在日常工作中积极发现并修复安全问题的个人或团队。
  • 零信任日:每季度组织一次 “零信任”模拟演练,从身份验证到资源访问全链路演练,检验防御体系的有效性。

Ⅵ、结语:在数字化浪潮中共筑安全高地

信息安全不再是少数安全团队的专属任务,而是 每一位员工的日常职责。从 Miasma 的供应链毒药到 SolarWinds 的根基破坏,历史一次次告诉我们:安全的薄弱环节往往隐藏在最熟悉的工具之中

在自动化、数智化、数字化齐头并进的时代,让我们一起:

  1. 保持警觉:对每一次依赖更新、每一次 CI 配置进行二次审视。
  2. 学会防御:掌握最小权限原则、签名校验、秘密扫描等关键技术。
  3. 主动参与:积极参加即将开启的安全意识培训,用实际行动把“看不见的门”关上。

只有当每一位同事都能够将安全思维内化为工作习惯,企业的数字化转型才能在风浪中稳健前行。让我们共同筑起一座“零漏洞的城堡”,让黑客的每一次尝试都化作无声的回响。

“防微杜渐,方能保全”。——愿每一位阅读此文的同事,都成为企业安全的守门人。

昆明亭长朗然科技有限公司强调以用户体验为核心设计的产品,旨在使信息安全教育变得简单、高效。我们提供的解决方案能够适应不同规模企业的需求,从而帮助他们建立健壮的安全防线。欢迎兴趣客户洽谈合作细节。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898