APT组织LuckyMouse技术讨论与情报分享

释放双眼,带上耳机,听听看~!

组织详情

LuckyMouse,又称EmissaryPanda和APT27,疑似为一个常用语为中文的地区或国家的组织。

具体攻击事件

一起针对某中亚国家的国家级数据中心的攻击事件,不小心被国外某厂商发现了。

攻击工具与媒介

1、HyperBro家族远控

合法应用程序(蓝色),启动器(绿色)和解压缩程序与木马嵌入(红色)

文件名向量:白名单程序

Symantec pcAnywhere(IntgStat.exe),

.dll启动程序(pcalocalresloader.dll)和

解压缩程序(thumb.db)

最后阶段的木马被注入到svchost.exe的进程内存中。

所有的dropper的启动模块都使用了Metasploit的shikata_ga_nai编码器混淆,最后在解混淆后会使用LZNT1解压内嵌的PE,并将其映射到内存中。

2、利用CVE-2017-11882的钓鱼文档

3、水坑攻击过程使用的脚本

主要功能为重定向到BEeF实例:

https://google-updata[.]tk:443/hook.js 和一个空的ScanBox实例:

https://windows-updata[.]tk:443/scanv1.8/i/?1,最终会返回一小段JavaScript代码。

4、开启了SMBv1的Mikrotik路由器(固件版本6.34.4,疑似存在漏洞)。该路由器外连C&C:bbs.sonypsps[.]com

时间线

2017年11月中旬,该地区数据中心存在主机被HyperBro感染,此后不久该国不同的用户开始被重定向到恶意域名为update.iaacstudio[.]com,证明当时已经成功了!


IOC

Droppers

22CBE2B0F1EF3F2B18B4C5AED6D7BB79
0D0320878946A73749111E6C94BF1525

Launcher
ac337bd5f6f18b8fe009e45d65a2b09b

HyperBro in-memory Trojan
04dece2662f648f619d9c0377a7ba7c0

Domains and IPs
bbs.sonypsps[.]com
update.iaacstudio[.]com
wh0am1.itbaydns[.]com
google-updata[.]tk
windows-updata[.]tk

本文源自微信公众号:黑鸟

人已赞赏
安全工具

Group123最新行动:Rocket Man || 以及伊朗/墨西哥/俄罗斯诱饵的APT&攻击情报

2019-10-16 10:14:33

安全工具

斯诺登自传《永久记录》完本,美国的“秘密”又将暴露多少

2019-10-16 10:14:37

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索