blackbird行动: 来自Group123针对韩国指定安卓用户的系列活动

释放双眼,带上耳机,听听看~!

blackbird行动: 来自Group123针对韩国指定安卓用户的系列活动

        在提到这系列活动前,需要提及一下背景知识。

        「Kakao Talk」是一款来自韩国的由中国腾讯担任第二大股东的免费聊天软件,类似于QQ微信的聊天软件, 可供iPhone、Android、WP、黑莓 等智能手机之间通讯的应用程序。本应用程序以实际电话号码来管理好友,借助推送通知服务,可以跟亲友和同事间快速收发信息,图片,视频,以及语音对讲。类似国内QQ,即使好友不在线,好友也能接收你的kakao talk消息,就跟发短信一样。

       

 

        而Group123在这系列活动中,便是利用了这款软件进行指定用户的钓鱼攻击,如下图所示,主要针对移动端用户。

        blackbird行动的目标很明确,为脱北者或与脱北者有关的人

        该系列在当时被归因为 sun team的组织,现在两个组织归因为一个来源了。

        而针对的用户手机平台如下。

        blackbird活动为Group123通过入侵web或云端服务器,配合已经在GooglePlay上传的恶意安卓应用,通过聊天软件对指定用户发送下载APP的链接 (通过受害网站的站点寄存APK)。

        其中此次行动中,恶意软件还利用了三星和LG设备中的漏洞来安装dropper,例如Samsung的CVE-2015-7888的漏洞。

       

        C2使用Dropbox或Yandex进行数据传输,调用的API,隐蔽功夫十足。

        随后可下载Cmd命令以及其他Dex恶意模块(custon.dex),其他功能中还使用了开源的通话录音工具CallRecorder (https://github.com/aykuttasil/CallRecorder

       除了上面的针对漏洞外,还涉及到脏牛提权漏洞。

        https://github.com/timwr/CVE-2016-5195

        使用手段也比较高端,通过chrome漏洞外加脏牛提权,涨姿势,虽然是老洞,但估计还是有用老手机一直没升级的吧吧吧?。

        同样会将这些利用脚本和源代码置于SDCARD中,并同样通过dropbox的方式上传

IOC

SamsungApps:

948f1d50d1784908ece778614315a995

dropper:
19a06965edc7b86f7b63d5a86b927a87

剩下的不嫌眼睛累的可以手打

今日APT情报

Dear john活动,起名自APT28组织从2018年10月17日到2018年11月15日的九个恶意文档,这些文档作者或修订者的名称均为Joohn。

恶意文档采用的是远程模板加载的手法,远程模板的作者名称也相同,均为XXX,最后会运行Zebrocy或Cannon变种

相关链接:

https://researchcenter.paloaltonetworks.com/2018/12/dear-joohn-sofacy-groups-global-campaign/

疑似Lazarus组织的活动,sharpshooter里面所使用的Rising Sun和2015年lazarus组织所使用的Duuzer后门具有代码相似性 一系列恶意宏文档的作者名为Richard,这些文档均使用韩版word创建,内容为职位JD,通过Dropbox进行分发。 

恶意宏文档利用内嵌shellcode将Sharshooter下载器注入到word内存中,一旦成功,将下载Rising Sun后门,该后门与Lazarus具有相关性

相关链接,完整PDF见知识星球:

https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/operation-sharpshooter-targets-global-defense-critical-infrastructure/

Cobalt Group 使用Threadkit进行活动的分析报告

ThreadKit是2017年10月首次发现的Microsoft Office文档漏洞构建工具包

归因于可追溯到当年6月的活动。

相关链接,完整PDF见知识星球:

https://cyware.com/news/cobalt-gang-found-using-new-version-of-threadkit-exploit-kit-dubbed-cobint-e523901f/

新鲜情报均在知识星球,欢迎入驻,一顿饭钱省去你无数天的精力

本文源自微信公众号:黑鸟

人已赞赏
安全工具

阿桑奇被捕后厄瓜多尔政府部门每日遭4000万次黑客攻击

2019-10-16 10:40:47

安全工具

情报mark-2018.10.22

2019-10-16 10:40:51

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索