DustSquad针对中亚地区,使用伪装成telegram的Octopus恶意软件进行攻击

释放双眼,带上耳机,听听看~!

前言:DustSquad是一个使用俄语的攻击团伙,与Octopus有关,自2014年开始活动。

2018年4月,DustSquad使用了一个伪装成假装哈萨克反对派政治团体的通讯软件。恶意软件被打包到一个名为dvkmailer.zip的ZIP文件中,带有2018年2月至3月的时间戳。

哈萨克斯坦民主选择党,这是一个在该国被禁止的反对党。在软件图片显示了俄语缩写词“ДВК”

(ДемократическийВыборКазахстана)

中文翻译“哈萨克斯坦民主选择”

图片上的缩写实际上就是那个词

哈萨克斯坦禁止使用telegram,实际上tg在该国特别热门,本次攻击用的dropper便是伪装成俄语界面的tg windows客户端。

恶意软件最简单的方式建立网络模块持久性,并启动

C2通信方案

如上,使用通过php获取新c2

以上C2和客户端均通过json进行交互,接收到act信号的C2会便开始发送一个包含要执行的命令的JSON,包括上传/下载文件、截图和在主机上查找*.rar档案。

相关链接

https://securelist.com/octopus-infested-seas-of-central-asia/88200/

密码转储工具

http://foofus.net/goons/fizzgig/fgdump/

2018年期间,中亚的政治实体一直受到不同组织的攻击,其中包括IndigoZebra、Sofacy(使用Zebrocy恶意软件)和最近的DustSquad(使用Octopus恶意软件)。

本文源自微信公众号:黑鸟

人已赞赏
安全工具

Fin7攻击经验总结,Group123样本分析图,TA555黑客组织

2019-10-16 10:35:25

安全工具

针对韩国开展的一系列韩文类恶意文档定向攻击行动分析 part-1

2019-10-16 10:35:30

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索