网军通过建立假区块链交易网站和Github,从而分发MacOS恶意软件

释放双眼,带上耳机,听听看~!

网军创建皮包公司,这似乎是一种”都市传说”,但是建立一个以假乱真的公司网站,并创建相应的假公司Github作为恶意软件分发渠道,这个最新的案例,黑鸟便来聊一聊。

该网军来自朝/鲜,名为Lazarus,作为曾经发起索尼娱乐攻击事件,针对全球金融银行SWIFT系统的攻击,以及数个针对美国、韩国军事承包商相关的攻击事件,还有影响最为深远的WannaCry勒索软件攻击,目前圈内普遍归因于其。

而本次的案例,简单来说,该组织首先,创建了一个新(伪)公司JMT Trading,网址为https://www.jmttrading.org

从网站性质来看,其为JMT币交易网站,这与Lazarus一直为敛财角色的定位一致。

点击网站的下载会跳转到Github上

https://github.com/jmttrading/JMTTrader/releases

从项目时间线来看,可见创建时间在2017年9月8号,积蓄已久。

可惜的是,在我访问了一下这个页面后,他们的账号都被封了= =然后页面也进不去了。

样本一开始由malwrhunterteam发现,并关联至卡巴斯基

其中VT查杀在10月11日均为0查杀

而安装后,实际上和普通的交易软件无异

在看过Objective的分析后,更加清楚了分析过程

https://objective-see.com/blog/blog_0x49.html

main函数

构造C&C服务器的URL:https://beastgoc.com/grepmonux.php

总结下来,该样本为Lazarus网军的AppleJeus后门,此前卡巴斯基曾写过

https://securelist.com/operation-applejeus/87553/

而由于此前其样本泄露了PDB路径,因此将该后门命名为AppleJeus。

Z:\jeus\downloader\downloader_exe_vs2010\Release\dloader.pdb

由于时间原因,不展开分析了,大家有兴趣自行查阅。

样本下载地址

https://objective-see.com/downloads/malware/AppleJeus.zip

解压密码

infect3d

上期阅读

▲点击图片

晚安和早安!

本文源自微信公众号:黑鸟

人已赞赏
安全工具

yikesnews第12期:有多个漏洞分析,可详细研究

2019-10-16 10:13:43

安全工具

印度在巴基斯坦境内发动空袭!事情起因经过请看本文

2019-10-16 10:13:50

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索