Fin7攻击经验总结,Group123样本分析图,TA555黑客组织

释放双眼,带上耳机,听听看~!

点个关注,重新出发

一、

该文章参考了,8月1日美国司法部对FIN7的三名成员的诉讼书。

(https://www.justice.gov/opa/pr/three-members-notorious-international-cybercrime-group-fin7-custody-role-attacking-over-100)

文章中提及了萨顿定律,该定律以著名的银行大盗威利·萨顿的名字来命名的。当时记者问萨顿为什么要抢劫银行,他说:‘因为那里有钱!”,意指在诊断时,首先应该考虑显而易见的问题。

根据起诉书,FIN7使用Carbanak恶意软件作为其攻击的一部分。开源报告表明FIN7还使用了BATELEUR,HALFBAKED,BIRDDOG和GRIFFON恶意软件(https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html),并且在基于SEC的攻击的情况下,POWERSOURCE和TEXTMATE恶意软件也被用于Cobalt Strike Beacon有效载荷。

相关链接:https://www.digitalshadows.com/blog-and-research/mitre-attck-and-the-fin7-indictment-lessons-for-organizations/

二、朝鲜APT组织Group123的几张活动示意图

三、

TA555黑客组织针对酒店业,投放AdvisorsBot恶意软件

恶意软件使用HTTPS与C&C服务器通信。在从感染主机到C&C的请求中,URI包含用于识别受害者的编码数据,例如:

       /aa/rek5h/lnl5/s4zakljmo/4f/xbdju4a02tnxywx/etl2dni405a1khwxyg0r2.jpg

URI中编码的数据包含机器SID,计算机名称的CRC32哈希值,一些未知的硬编码值以及Windows版本

还有发现AdvisorsBot下载器变种,完全用PowerShell和.NET编写,称为PoshAdvisor。

https://www.proofpoint.com/us/threat-insight/post/new-modular-downloaders-fingerprint-systems-part-2-advisorsbot

第一部分如下

https://www.proofpoint.com/us/threat-insight/post/new-modular-downloaders-fingerprint-systems-prepare-more-part-1-marap

还有最后提供一个该恶意软件对WindowsAPI函数进行hash计算从而避免检测的解hash脚本

https://github.com/EmergingThreats/threatresearch/blob/master/advisorsbot/func_hashes.py

本文源自微信公众号:黑鸟

人已赞赏
安全工具

疑似1.59亿LinkedIn领英客户数据库正在以99美元的价格被售卖

2019-10-16 10:35:22

安全工具

DustSquad针对中亚地区,使用伪装成telegram的Octopus恶意软件进行攻击

2019-10-16 10:35:27

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索