长期攻击韩国的baby系列活动分析

释放双眼,带上耳机,听听看~!

baby系列指的是

Baby Coin 和 最新爆出的Mystery Baby活动。

我觉得目前已经不能将所有用韩语或者HWP文档投递攻击韩国的都嫁祸于朝鲜了,毕竟这类手段实际上其他国家也很容易模仿和进行攻击(咳咳)

而说到最新的MysteryBaby,恶意代码同样与babycoin采取了一样的伪装韩国杀软的手段

下图为babycoin

还有http头部的特殊记号,前两天的lazarus文章中也有一个特殊的记号

朝鲜APT组织lazarus的特马代码源头追溯

babycoin:

“Content-Type:multipart / form-data; boundary = ————————— 7dab371b0124 \ r \ n”

mystery baby:

“Content-Type:multipart / form-data; boundary = ——– 1650502037 \ r \ n”


有趣的是,msterybaby还会收集安卓的.keystore文件,Android应用程序开发和签名的文件。

msterybaby活动中的回连C&C是三个被攻陷的韩国网站,线索太少。

这两起活动的马和另一个变种马产生了关联,该变种马还包含了一个韩国公司的过期数字签名。

实际上,到这里我还是觉得很普通,然后看了一下babycoin的文章,发现里面还关联了多个报告,其中有一起2010年的利用CVE-2010-2883针对美国某单位的攻击。

其中,报告称发信者的IP:221.9.247.17是中国长春市的。(老哥查一下,是的话留言一下吧哈啊)

然后babycoin中有一个名为Sysninit.ocx的马,根据样本特征搜了一下,还关联到了一个报告,对这一系列的木马定性为KimJongRAT家族,有兴趣可以看看。

然后我看了一下这个报告的参考链接就是上面那个邮件报告,哈哈哈

参考链接:http://blog.alyac.co.kr/1963

安全报告分享:

中国物联网分析论文,看看就好

相关链接:

https://www.uscc.gov/sites/default/files/Research/SOSi_China%27s%20Internet%20of%20Things.pdf

本文源自微信公众号:黑鸟

人已赞赏
安全工具

[APT时事杂谈]&APT组织Hades&朝鲜Group123&伊朗OilRig的新攻击活动

2019-10-16 10:12:32

安全工具

黑鸟每日安全资源推送​第24期(求关注转发,良心推送)

2019-10-16 10:12:36

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索