近期针对土耳其和叙利亚的Promethium活动分析+ 链接ioc情报等

释放双眼,带上耳机,听听看~!

祝同行1024节,身体健康,远离疾病,少加班,多运动。

1、近期针对土耳其和叙利亚的Promethium活动分析

恶意软件名:Promethium

别名:StrongPity

时间:2018.5到8月

主要:更新了武器,新增叙利亚目标

新释放的文件名和路径

  • %windows%\system32\IpeOve32.exe

  •    %temp%\ AC315BA-864X-64AA-C23B-C3DDC042AB2\evntwn32.xml

  •    %temp%\AC315BA-864X-64AA-C23B-C3DDC042AB2\mscorw32.xml

  •    %windows%\system32\netplviz.exe

利用powershell尝试通过排除系统和临时目录以及关闭样本提交和禁用行为监视来更改Windows 10系统上Windows Defender的默认行为。 

powershell.exe Set-MpPreference -ExclusionPath ‘C:\Windows\System32’, ‘C:\Windows\SysWOW64’, ‘C:\DOCUME~1\<USER>~1\LOCALS~1\Temp’ -MAPSReporting 0 -DisableBehaviorMonitoring 1 -SubmitSamplesConsent 2

http post 请求

user-agent 固定 

Edge / 8.0(Windows NT [操作系统版本号] ; Win [32或64]; [处理器架构]

content-type还重复了,edge浏览器的标准也不对

相关链接:

https://threatvector.cylance.com/en_us/home/whack-a-mole-the-impact-of-threat-intelligence-on-adversaries.html

该活动的相关链接

a. 

针对意大利和比利时加密用户的StrongPity水潭攻击。https://securelist.com/on-the-strongpity-waterhole-attacks-targeting-italian-and-belgian-encryption-users/76147/

b. 

StrongPity2间谍软件取代了MitM活动中的FinFisher 

https://www.welivesecurity.com/2017/09/21/new-finfisher-surveillance-campaigns/

c.

在土耳其部署政府间谍软件并影响埃及用户

https://citizenlab.ca/2018/03/bad-traffic-sandvines-packetlogic-devices-deploy-government-spyware-turkey-syria/

d.

双0day攻击:PROMETHIUM和NEODYMIUM的欧洲

http://download.microsoft.com/download/E/B/0/EB0F50CC-989C-4B66-B7F6-68CD3DC90DE3/Microsoft_Security_Intelligence_Report_Volume_21_English.pdf

2、

一次lazarus的钓鱼文档的完整简单分析,最后释放的是Manuscrypt

http://sfkino.tistory.com/71

3、

使用sload分发ramnit,针对英国和意大利用户

https://www.proofpoint.com/us/threat-insight/post/sload-and-ramnit-pairing-sustained-campaigns-against-uk-and-italy

4、

ZombieboyMiner(僵尸男孩矿工),挖矿团伙

https://mp.weixin.qq.com/s/Tcl_t64P2Q8A2GvM5DCtPA

5、

各类安卓银行木马在google paly上安居落户,ioc信息挺多

https://www.welivesecurity.com/2018/10/24/banking-trojans-continue-surface-google-play/

假信息

检测android模拟器的功能代码

本文源自微信公众号:黑鸟

人已赞赏
安全工具

最新英特尔CPU漏洞SWAPGS曝光,允许黑客访问内存敏感信息

2019-10-16 10:07:03

安全工具

真船借箭:盘点行动中攻击者的绝密武器

2019-10-16 10:09:45

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索