APT组织Reaper新Dropper公开:NOKKI和DOGCALL存在关联性

释放双眼,带上耳机,听听看~!

国庆节快乐

披露时间:2018.10.1

APT组织:Reaper(Group123,apt37)

该组织特定使用的与本次事件相关恶意软件家族:DOGCALL

新公开恶意dropper家族:Final1stspy

pa详细对前些日 (近期高级威胁情报小结(双节期间)/The Lucy Gang /)发布的NOKKI恶意软件与DOGCALL之间的联系进行了分析

主要内容:

分析人员在对NOKKI的系列攻击进行分析途中,发现了一个恶意宏文档,该文档使用了一种不同寻常的方法,它首先将base64编码的文本转换为十六进制,然后将该十六进制转换为文本字符串。

如下所示

具体对应的转换函数,还有恶意软件作者的注释

紧接着,通过反向搜索,发现了类似的样本,样本中含有朝鲜相关的诱导性语句,语句来自公开新闻(http://www.thedrive.com/the-war-zone/21430/procession-of-chinese-and-north-korean-jets-have-airlifted-kim-and-company-to-singapore)

hash:

e02024f38dfb6290ce0d693539a285a9 

文件名:(世界杯预测)

World Cup predictions.doc

这个世界杯预测的样本首先下载vb文件,文件中也含有该转换编码的函数

http://kmbr1.nitesbr1.org/UserFiles/File/image/home.html

最后通过执行vb脚本,会下载一个DLL和一个可执行文件,也就是他们所称的Final1stspy恶意软件

GET请求包如下,具体指令的解释请阅读原文

该恶意软件最后向C&C服务器请求Payload,最后使用0x49的单字节XOR密钥进行解密后会释放DOGCALL木马也就是reaper组织专用木马。

因此,综上所述,在不排除恶意软件作者故意搞事的情况下,NOKKI和DOGCALL还是存在关联性的。

同时,也祝贺又找到了reaper组织的新Dropper,Final1stspy。

IOC

World Cup predictions Sample

66a0c294ee8f3507d723a376065798631906128ce79bd6dfd8f025eda6b75e51

 

Final1stspy Samples

0669c71740134323793429d10518576b42941f9eee0def6057ed9a4ba87a3a9a

fb94a5e30de7afd1d9072ccedd90a249374f687f16170e1986d6fd43c143fb3a

 

DOGCALL Samples

3fee068bf90ffbeb25549eb52be0456609b1decfe91cda1967eb068ef2c8918f

 

Infrastructure

kmbr1.nitesbr1[.]org

 

相关链接(或点击原文链接):

https://researchcenter.paloaltonetworks.com/2018/10/unit42-nokki-almost-ties-the-knot-with-dogcall-reaper-group-uses-new-malware-to-deploy-rat/

本文源自微信公众号:黑鸟

人已赞赏
安全工具

WinRAR代码执行漏洞复现和想法

2019-10-16 10:34:28

安全工具

美国五角大楼已研发通过心跳识别人的激光技术,为军事和监视组织使用

2019-10-16 10:34:32

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索