今日APT相关情报/lazarus/DarkHydrus/tb

释放双眼,带上耳机,听听看~!

1、Hwp恶意代码伪装成韩国的金融监管局

16个字节的异或作为带有恶意代码被加密。

解码后,会获得Post Script代码和shell代码

存在签名值 AABBCCDD 。下载链接如图,”tpddata.com” 近期一直被使用

IOC:

https://tpddata[.]com/flash/gcoin2[.]swf 

https://tpddata[.]com/flash/gcoin4[.]swf 

上面的恶意样本的回连C&C

www[.]pakteb[.]com/include/left[.]php

www[.]pakteb[.]com/include/left[.]php

www[.]nuokejs[.]com/contactus/about[.]php

www[.]qdbazaar[.]com/include/footer[.]php


相关链接 http://sfkino.tistory.com/64

2、DarkHydrus使用Phishery 针对中东用户发起凭证钓鱼攻击


攻击涉及的文档利用“attachmentTemplate”技术从远程服务器加载模板。尝试加载此远程模板时,Microsoft Office将显示一个身份验证对话框,要求用户提供登录凭据。输入后,这些凭据将被发送到C2服务器,这允许DarkHydrus收集用户帐户凭据。

其中有一个样本打开之后就会显示一个对话框,询问用户的凭据,输入后点击确定就会将信息发送到DarkHydrus c2上。

以上手法是通过使用phishery生成

Phishery工具具有以下功能:

1、通过注入远程模板URL来创建恶意Word文档

2、在尝试获取远程模板时,托管C2服务器以收集输入到身份验证对话框中的凭据

phishery工具

链接:https://github.com/ryhanson/phishery

IOC:

d393349a4ad00902e3d415b622cf27987a0170a786ca3a1f991a521bff645318

9eac37a5c675cd1750cd50b01fc05085ce0092a19ba97026292a60b11b45bf49

0b1d5e17443f0896c959d22fa15dadcae5ab083a35b3ff6cb48c7f967649ec82

0utl00k[.]net

107.175.150[.]113

195.154.41[.]150

相关链接:

https://researchcenter.paloaltonetworks.com/2018/08/unit42-darkhydrus-uses-phishery-harvest-credentials-middle-east/


3、lazarus 近期攻击案例集合,有更新,”유사수신행위위반통보 hwp” 这是最新的恶意软件, 伪装成 “fss” 文件


链接:http://taylor-blog.issuemakerslab.com/2018/06/continue-to-distribute-malicious-code.html

4、还有一个针对Tibetan的,不敢发,可看知识星球

——————more👇——————

本文源自微信公众号:黑鸟

人已赞赏
安全工具

黑吃黑:盗号交易论坛Ogusers被黑客入侵后整站上传

2019-10-16 10:13:55

安全工具

最新海莲花组织攻击事件分析

2019-10-16 10:14:00

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索