朝鲜的APT组织之间的代码重用分析/bokbot/漏洞工具包总结

释放双眼,带上耳机,听听看~!

1、发现朝鲜的APT组织之间存在代码重用,emm,合作共赢,走向小康社会。

代码重用性相关图,这个厉害了

上面都和lazarus相关,下面和Group123有关

包括代码DNA相似性,我觉得可以好好读读这篇

https://mycomputertechnology.us/cyber-security/inspecting-code-reuse-reveals-undiscovered-hyperlinks-amongst-north-koreas-malware-households/09/08/2018/.html

2、与黑产团伙Neverquest的银行木马Bokbot诞生

        Bokbot(又名:IcedID),与2017年被披露,其与76service 即后来的            Neverquest/Vawtrak 黑客团体有关,历史可追溯到2006年,之后Neverquest被逮捕并垮台。如今又出现了一个新的bokbot变种,下面为具体信息。

        76service 是一种由CRM(又名:Gozi)提供支持的大型数据挖掘服务。它能够从受害者那里收集大量数据,例如,使用formgrabbing从受感染的受害者提交给网站的表格中检索授权和登录凭据。该服务从2006年一直运行到2010年11月,后来乌克兰国民Nikita Kuzmin因行动而被捕,因此服务停止。

        而Nikita在被捕几个月前,他在一个私人小组分享了CRM的源码,因此出现了多种Gozi变种,其中最有名的要数一个名为Catch的恶意软件,又被称为Vawtrak或Neverquest。此外,其还与别的恶意软件配合使用分发。

恶意软件组

用法/功能

Dyre

Neverquest感染上下载并执行Dyre

TinyLoader

AbaddonPOS

Neverquest感染上下载并执行TinyLoader。后来看到TinyLoader下载了AbaddonPOS

Chanitor / Hancitor

Neverquest利用Chanitor感染新的受害者。

        最后,在2017年1月,一个名叫Stanislav Lisov的人在西班牙被捕,不久后,Neverquest后端服务器下线,欺诈行动因此再次结束。

现在,与这个团伙相关的bokbot样本出现了,其通过emotet进行分发。详细可见

https://blog.fox-it.com/2018/08/09/bokbot-the-rebirth-of-a-banker/

3、漏洞工具包总结,见下面那篇文章

进公众号历史消息应该是有的

4、几个guo jia队情报,进星球内查看

———more———👇————

本文源自微信公众号:黑鸟

人已赞赏
安全工具

yikes!news第10期(今日重点:Microsoft恶意软件防护引擎远程执行代码漏洞(CVE-2017-0290))

2019-10-16 10:42:27

安全工具

从2014到2019在野发现的0Day漏洞和其归因溯源分析汇总

2019-10-16 10:42:33

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索