朝鲜APT组织RedEye(Reaper)||ISIS持续进行 “OpTheWorld”行动

释放双眼,带上耳机,听听看~!

一、朝鲜APT组织RedEye(Reaper/Group 123)新活动与总结

历史攻击事件与手段还有文档内容标题

历史样本家族与对应功能

Reloader (DocPrint) 在内存中执行其他恶意软件的加载程序
Reloaderx 收集系统信息并下载其他文件
Redoor (DogCall和ROKRAT)  使用后门函数
Wiper 清除硬盘数据

PDB见文末,原文可见知识星球或点击文末的链接

二、

CVE-2018-8302,持续关注

通过语音邮件内容,即可在服务器执行任意代码漏洞,Exchange默认开启了UM 自动试图转换成文本,恶意的payload 信息得益于转化的文本并利用.NET BinaryFormatter 进行反序列化来进行任意代码执行攻击。

https://www.thezdi.com/blog/2018/8/14/voicemail-vandalism-getting-remote-code-execution-on-microsoft-exchange-server?from=timeline&isappinstalled=0

三、lazarus组织最新活动,伪造虚拟货币网站进行水坑攻击

http://blogs.360.cn/blog/%E6%95%B0%E5%AD%97%E5%8A%A0%E5%AF%86%E8%B4%A7%E5%B8%81%E4%BA%A4%E6%98%93%E8%BD%AF%E4%BB%B6apt%E6%94%BB%E5%87%BB%E7%AE%80%E6%8A%A5/

四、ISIS的黑客军团发动 “OpTheWorld”行动最新状况

五、APT10第四弹,老规矩,欲见详情,可进知识星球查看

附录

相关字符串

C:\Users\pad-2\AppData\Local\Temp\Hwp (3).exe \\192.168.100.22\saggazi\Happy\Work\2016.8~\2016.8.10~\(University in Korea)\(Korean name)2016.8.24\2017.1.1mail\Hwp.exe

原文链接

https://global.ahnlab.com/global/upload/download/techreport/[AhnLab]%20Red_Eyes_Hacking_Group_Report%20(1).pdf

PDB列表

最新的

d:\HighSchool\version 13\2ndBD\T+M\T+M\Result\DocPrint.pdb

D:\HighSchool\version 13\First-Dragon(VS2015)\Sample\Release\DogCall.pdb

D:\HighSchool\version 13\VC2008(Version15)\T+M\T+M\TMProject\Release\ErasePartition.pdb

E:\Happy\Work\Source\version 12\First-Dragon\Sample\Release\DogCall.pdb

e:\Happy\Work\Source\version 12\T+M\Result\DocPrint.pdb

2015到2016的

C:\Users\Naughty Develop\Desktop\New Backdoor2.5-with-cmd-resource\New Backdoor2.3\Release\Backdoor.pdb

D:\FirstBackDoor(2015_1_10)\FirstBackDoor(2015_1_10)\Release\FirstUrlMon.pdb

D:\TASK\ProgamsByMe(2015.1~)\2010Main\EXE_AND_SERVICE\Release\Manager.pdb

D:\TASK\ProgamsByMe(2015.1~)\FirstBackDoor(2015_7_24)\Release\office.pdb

D:\TASK\ProgamsByMe(2015.1~)\FirstBackdoor(2015_7_24)\Release\PrivilegeEscalation.pdb

D:\TASK\ProgamsByMe(2015.1~)\Happy\2010PHV2\EXE_AND_SERVICE\Release\KeyLogger.pdb

D:\TASK\ProgamsByMe(2015.1~)\Happy\2010PHV2\EXE_AND_SERVICE\Release\ScreenCap.pdb

D:\TASK\ProgamsByMe(2015.1~)\HncUpdateUAC\C++\Release\CppUACSelfElevation.pdb

D:\TASK\ProgamsByMe(2015.1~)\HncUpdateUAC\C++\Release\Installer.pdb

D:\TASK\ProgamsByMe(2015.1~)\HncUpdateUAC\C++\Release\Manager_Them.pdb

D:\TASK\ProgamsByMe(2015.1~)\MyWork\Relative

Backdoor\KeyLogger_ScreenCap_Manager\Release\SoundRec.pdb

D:\TASK\ProgamsByMe(2015.1~)\MyWork\Relative Backdoor\KeyLogger_ScreenCap_Manager\Release\Manger.pdb

D:\TASK\ProgamsByMe(2015.1~)\MyWork\Relative

Backdoor\KeyLogger_ScreenCap_Manager\Release\ScreenCap.pdb

D:\TASK\ProgamsByMe(2015.1~)\ShellCode\Debug\HwpConvert.pdb

D:\TASK\ProgamsByMe(2015.1~)\ShellCode\Release\UACTest.pdb

E:\Task\ProgamsByMe(2015.1~)\EXE_AND_SERVICE\EXE_AND_SERVICE\Debug\Manager.pdb

E:\task\ProgamsByMe(2015.1~)\EXE_AND_SERVICE\EXE_AND_SERVICE\Release\TransProxy.pdb

N:\TASK\ProgamsByMe(2015.1~)\MyWork\Relative Backdoor\Installer\Release\Installer.pdb

N:\TASK\ProgamsByMe(2015.1~)\MyWork\Relative Backdoor\New Backdoor2.4\Release\InstallBD.pdb

P:\PH2015_2.2\New Backdoor2.2\New Backdoor2.2\Release\CppUACSelfElevation.pdb

P:\TASK\ProgamsByMe(2015.1~)\MyWork\Relative Backdoor\New Backdoor2.3\Release\InstallBD.pdb

T:\TASK\ProgamsByMe(2015.1~)\MyWork\Relative Backdoor\New Backdoor2.3-with-cmd-resource\New

Backdoor2.3\Release\Backdoor.pdb

z:\work\4th\plugin\OffSM\Release\OffSM.pdb

Z:\work\4th\plugin\SM\Release\SM.pdb

Z:\work\n1st\Agent\Release\HncUp.pdb

Z:\work\n1st\Agent\Release\PotPlayerUpdate.pdb

本文源自微信公众号:黑鸟

人已赞赏
安全工具

人心惶惶:利用新西兰特大枪击案进行网络钓鱼攻击的前因后果

2019-10-16 10:35:11

安全工具

Yikesnews第19期: 7种nsa工具蠕虫EternalRocks|wanakiwi支持win7|wana磁盘恢复工具开源

2019-10-16 10:35:17

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索