APT组织Andariel最新攻击事件

释放双眼,带上耳机,听听看~!

      本起事件与此前的韩国Activex 0day 的攻击方一致,均为朝鲜APT组织Lazarus属下的Andariel团伙。

此次投放的均为 恶意HWP文档,并且文件名均与金融相关

cf09201f02f2edb9c555942a2d6b01d4

국제금융체제 실무그룹 회의결과.hwp

国际金融系统工作组会议结果

69ad5bd4b881d6d1fdb7b19939903e0b

금융안정 컨퍼런스 개최결과.hwp

财务稳定会议结果

G20 相关

最后通过C2回连的DLL文件中有一个很明显的特征

*dJU!*JE&!M@UNQ@   这个特征出现在木马家族Phandoor中

除此之外,还有一个疑似该组织的最新攻击样本,今天沉迷写代码,各位看客先行分析吧。

87e252e3da6c02bf531a6cfb788f122a

미국의 대테러전쟁.hwp 

美国反恐战争

C2 

hxxps://tpddata.com/skins/skin-8.thm

hxxps://tpddata.com/skins/skin-6.thm

DLL

skin-8.thm (x86) : eb6275a24d047e3be05c2b4e5f50703d

skin-6.thm (x64) : a6d1424e1c33ac7a95eb5b92b923c511

DLL C2

hxxps://www.anlway.com/include/arc.search.class.php

hxxps://www.apshenyihl.com/include/arc.speclist.class.php

hxxps://www.ap8898.com/include/arc.search.class.php

本文源自微信公众号:黑鸟

人已赞赏
安全工具

有人破坏国家安全或想策反你?请拨打12339。

2019-10-16 10:15:26

安全工具

《美国大使馆购物清单》阅读指南

2019-10-16 10:15:34

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索