[“Inception Framework”:”欧洲”,”Persian Stalker”:”伊朗”]

释放双眼,带上耳机,听听看~!

以后APT类标题就这样写了,节省空间

——黑鸟

高级威胁情报:

一、

Inception Framework使用远程模板记载CVE-2017-11882,通过vbs载荷释放POWERSHOWER,针对欧洲进行攻击

组织名:Inception Framework

攻击目标:针对军事,外交官和公共汽车的非常复杂的分层恶意软件攻击

隐藏手段:该组织使用云和物联网隐藏在视线之内

攻击目标:  最初针对俄罗斯,中亚,后来蔓延至全世界,现在目标是欧洲

涉及平台:windows,Android,Blackberry和iOS

远程模板是Microsoft Word的一项功能,它允许文档加载要在文档中使用的模板 – 此模板可以在文件共享或Internet上进行外部托管。然后在打开文档时加载模板。

本次活动中,Inception攻击者在恶意上下文中使用此功能,如下图

以这种方式使用远程模板是过去4年来Inception攻击者攻击的一致特征,并且对攻击者有三个主要好处:

  1. 初始文档不包含任何明确的恶意对象,它只是引用一个外部对象,这意味着它应该绕过静态分析技术,如下图所示,这种技术的示例。

  2. 攻击者可以根据从目标收到的初始数据(如Microsoft Word版本(在User-Agent中发送)和目标的IP地址)将恶意内容部署到受害者。

  3. 一旦攻击结束,托管远程模板的服务器关闭,研究人员很难分析攻击,因为远程内容不太可能对他们可用。

本次攻击中,远程模板包含CVE-2012-1856和CVE-2017-11882的漏洞利用

最后通过vbs脚本解码执行powershell后门POWERSHOWER,没什么好说的了

主通信循环代码如下

Inception Framework相关链接:

[1] https://researchcenter.paloaltonetworks.com/2018/11/unit42-inception-attackers-target-europe-year-old-office-vulnerability/

[2] https://www.symantec.com/blogs/threat-intelligence/inception-framework-hiding-behind-proxies

[3] https://www.symantec.com/connect/blogs/blue-coat-exposes-inception-framework-very-sophisticated-layered-malware-attack-targeted-milit

二、

Persian Stalker(波斯追猎者)针对伊朗用户系列攻击

(文章也没提组织名哪来,暂定这个,之后看情况更正)

从2017年开始到2018年,该组织使用不同的技术来攻击用户并窃取他们的私人信息,如假登录页面,伪装成合法的恶意应用程序和BGP劫持,并专门针对Telegram和Instagram的伊朗用户

该活动中伪造的电报程序在用户注册后(注册信息直接传回C2),会自动被拉到一个组里,目前组内已经超过一百万名用户,可怕。

这些都不重要,分析看报告就好了,主要是有BGP劫持好玩

相关链接:

https://blog.talosintelligence.com/2018/11/persian-stalker.html

安全资源:

一、工业设施中的USB威胁的分析报告

涵盖面很全,值得放年终报告中。

下载链接:

https://honeywellprocess.blob.core.windows.net/public/Support/Customer/Honeywell-USB-Threat-Report.pdf

二、勒索自救手册,适合大众阶层,建议以后各大厂商直接在报告最前面写上解决方案,写上溯源结果,写上事件结局,写上时间线就够了,毕竟大众只关注结果,不关注过程。

勒索病毒应急响应自救手册

本文源自微信公众号:黑鸟

人已赞赏
安全工具

伊朗APT组织Charming Kitten新活动&ioc/今日推荐阅读

2019-10-16 10:11:04

安全工具

APT组织Tick再度出击;Olympic Destroyer仍在活动;URLAzone恶意软件攻击

2019-10-16 10:11:12

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索