APT攻击:CHAINSHOT恶意软件;朝鲜APT组织Lazarus的程序员被控告;Silence情报

释放双眼,带上耳机,听听看~!

大佬们路过关注一下吧

一、

APT攻击:CHAINSHOT恶意软件

利用CVE-2018-5002 Adobe Flash漏洞的进行分发。

此篇线索来源于这篇文章,也就是当初icebrg发现这个0day的线索。

https://www.icebrg.io/blog/adobe-flash-zero-day-targeted-attack

本次针对性攻击同样使用的为CVE-2018-5002,触发漏洞后,大致通过随机生成的512位的RSA密钥对(目前是可以破解的,这个位数不大,具体参考这个项目https://github.com/eniac/faas/),从而通过公钥进行RSA的私钥计算,来解密AES的密钥从而最后解密payload

        而这个payload实际上是一段shellcode,该shellcode最后将

FirstStageDropper.dll释放到内存(也就是CHAINSHOT)

        该恶意软件有检测和绕过杀软的手段,并会将

SecondStageDropper.dll注入到一个进程中,这个dll有检测杀软功能,并会去收集受害者系统信息并上传至攻击者服务器。

        还有一点值得一提的是,这次的攻击者还是使用了相同的SSL证书,因此仍然可以发现新的基础设施以及新攻击行动。

IOC相关链接:

https://researchcenter.paloaltonetworks.com/2018/09/unit42-slicing-dicing-cve-2018-5002-payloads-new-chainshot-malware/

具网上透露,该系列攻击与APT组织FruityArmor相关,这是一个卡巴曾经披露过的组织,该组织详情如下。

https://securelist.com/windows-zero-day-exploit-used-in-targeted-attacks-by-fruityarmor-apt/76396/

二、

朝鲜APT组织Lazarus的程序员Park Jin Hyok被控告

事件简介如下:

https://www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and

简单来说,就是这名所属lazarus底下的程序员Park Jin Hyok曾经参与wannacry制作,针对索尼影业的攻击,针对SWIFT的攻击,还有针对美国国防武器承包商的邮件攻击等等。

而该男子被曝光的主要原因是由于其当年曾在中国大连进行工作,因此工作过程中一些邮箱均被查的一清二楚。

具体便是这哥们用的一台主机均会去访问这些邮箱,(具体老美怎么做的,你懂的)。

然后这些邮箱就开始发挥作用了,从邮箱注册名,注册时间,注册位置,注册用户名,所填写的恢复邮箱,时区,注册了一些其它别的网站信息,论坛信息,登录是否使用代理等等等等,老美情报机构均可以获取到(想搞你还不简单)。最后集中关联了下面这些图示信息

需要高清图可直接看pdf。

详细诉松书如下,里面涉及了很多溯源技巧,可以参考一二,还有些许情报,从老美情报机构可以查询到如此多的情报接口,可以感觉到数据量级的差异。

https://www.justice.gov/opa/press-release/file/1092091/download

三、曾针对ATM发起攻击的APT组织Silence 

完整报告可进知识星球下载。

明后天详细看一下上面几篇的样本,如果有价值就详细写一下

四、攻击技术:利用了Office公式编辑器特殊处理逻辑的最新免杀技术分析(CVE-2017-11882)

链接:https://ti.360.net/blog/articles/cve-2017-11882-exploit-kit-sample/

各位晚安,周末愉快。

欢迎各位加入我的知识星球,方便各位及时处理新鲜情报,提高免疫力。

本文源自微信公众号:黑鸟

人已赞赏
安全工具

全球威胁组织报告:安全界的动物图谱

2019-10-16 10:43:43

安全工具

无语!国际网络安全组织FIRST暂停华为会员资格。

2019-10-16 10:43:47

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索