疑似朝鲜APT组织发布招聘广告,通过攻击想离职的内部员工导致连接智利所有银行ATM基础设施的公司被搞

释放双眼,带上耳机,听听看~!

感谢各位大佬的转发点赞和关注,这文也可以多转转,爱你们!

为了提升企业的安全意识,招聘永远都是一个很好的攻击入口。

胶带背景

在参议员Felipe Harboe发布一条推文说明Redbanc在12月底遭受了计算机攻击之后,该公司证实存在这种攻击。

此外,该公司称  “对我们的运营没有影响,保持我们的ATM服务和网络运行正常”。尽管紧急情况出现,他们告诉银行和金融机构(SBIF),银行和金融机构(ABIF)公会监管局,并指出,他们不停地在任何时候告诉不同用户其在业内人士处获悉”,完全透明的合作精神“。是不是觉得不就是一个公司被黑了,那么继续胶带背景。

Redbanc是连接智利所有银行ATM基础设施的公司

来了来了,关键词是什么?ATM!ATM!ATM!

目标是哪?智利!

老司机教你怎么溯源。

点击下面我这篇老文

FASTCash活动:Lazarusz组织是如何从ATM中拿走数百万美元

再看看今年Lazarus曾经攻击智利银行

所以,攻击ATM和南美洲的APT组织,就是Lazarus组织!

emmmm….

你是不是说疑似,不够实锤。

那来看看攻击过程。

攻击过程

这一切都始于在社交网络Linkedin上发布的工作机会,其中提到了找计算机专业人士来做程序员。

和前天的海莲花不同,这里是主动发布招聘钓鱼。

海莲花组织向招聘单位发出应聘请求,并附上简历链接

这项具有吸引力的工作,并没有引起任何怀疑它是网络犯罪分子的“诱饵”,以便吸引那些不知不觉地帮助他们向自己公司进行攻击的人。

在Redbanc专业人员点击申请职位后,他们联系了他,甚至通过Skype和西班牙语进行了交谈,目的是获得申请人的信任,很正经的进行了招聘。


获得信任后,

他们要求申请人在他们的计算机上安装ApplicationPDF.exe程序,

其借口是以pdf格式在线生成他们的申请表

该程序没有引起任何杀软报警,因此它在Redbanc网络内的计算机上安装并运行了起来。

ApplicationPDF.exe

Hash:

b484b0dff093f358897486b58266d069

该样本的dropper可以关联到Lazarus的PowerRatankba。dropper是一个.NET程序,其会连接C2服务器并下载PowerRatankba PowerShell 侦察工具。

PDB:

F:\05.GenereatePDF\CardOffer\salary\salary\obj\Release\ApplicationPDF.pdb

dropper在下载powershell脚本时候会显示虚假的工作申请表。

hreadProc解码Base64编码的值并执行PowerShell脚本

根据Proofpoint的研究人员的说法,PowerRatankba是Lazarus利用的一种新型侦察和下载植入工具,用于指纹识别并获取有关被入侵机器的信息。

(https://www.proofpoint.com/us/threat-insight/post/north-korea-bitten-bitcoin-bug-financially-motivated-campaigns-reveal-new)

URI结构和恶意软件类似于Proofpoint所描述的“PowerRatankba.B”,因为它们具有相同的DES加密算法以及其他代码模板相似性。此PowerRatankba变体的一个区别是它在HTTPS上与服务器通信。值得注意的是,恶意软件模板包含注释掉的基本服务器

https://bodyshoppechiropractic.com

powershell后门命令

恶意软件在执行期间会输出以下消息:

值得一提的是,在趋势的报告里面还有RATANKBA的远控控制台。

远控指令有所不同

好吧,我改成疑似行了吧,为什么我怂了,参考昨天这篇开头。

错综复杂:Ryuk勒索软件攻击事件背景整理与总结

IOC:

Hash

0f56ebca33efe0a2755d3b380167e1f5eab4e6180518c03b28d5cffd5b675d26

20d94f7d8ee2c4367443a930370d5685789762b1d11794810dc0ac6c626ad78e

a1f06d69bd6379e310b10a364d689f21499953fa1118ec699a25072779de5d9b

db8163d054a35522d0dec35743cfd2c9872e0eb446467b573a79f84d61761471

f12db45c32bda3108adb8ae7363c342fdd5f10342945b115d830701f95c54fa9

URL

https://bodyshoppechiropractic.com

https://ecombox.store

备用链接

https://www.seguridadyfirewall.cl/2019/01/intento-de-ataque-redbanc-en-chile.html

报告参考链接

https://www.flashpoint-intel.com/blog/disclosure-chilean-redbanc-intrusion-lazarus-ties/

https://blog.trendmicro.co.jp/archives/16923

需要yara规则的自取

import “pe”

rule apt_possible_lazarus_powerratankba_dropper {

   meta:

      description = “Detects possible Lazarus PowerRatankba dropper”

      author = “@VK_Intel”

      type = “experimental”

      date = “2019-01-15”

      hash1 = “f12db45c32bda3108adb8ae7363c342fdd5f10342945b115d830701f95c54fa9”

   strings:

      $f0 = “ThreadProc” fullword wide ascii

      $f1 = “SendUrl” fullword wide ascii

      $ps1 = “ps1” fullword wide ascii

      $b64 = “FromBase64String” fullword wide ascii

      $pdb = “F:\\05.GenereatePDF\\CardOffer\\salary\\salary\\obj\\Release\\ApplicationPDF.pdb” fullword ascii

   condition:

      ( uint16(0) == 0x5a4d and

         filesize < 1000KB and

         pe.imphash() == “f34d5f2d4577ed6d9ceec516c1f5a744” and

         ( $f0 and $f1 and $ps1 and #b64 > 2 )

      ) or ( all of them )

}


你点的每个赞,我都认真当成了喜欢


本文源自微信公众号:黑鸟

人已赞赏
安全工具

通过Instagram来找到荷兰最想抓捕的逃犯所在位置

2019-10-16 10:17:21

安全工具

今日APT情报大杂烩:海莲花、Darkhotel、响尾蛇&黄金鼠组织,Happy Virus和MartyMcFly行动

2019-10-16 10:17:30

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索