新的南亚APT组织Urpage || ZipArchive 2.1.4目录遍历POC

释放双眼,带上耳机,听听看~!

求大佬转发关注,小弟日后相报,最近一段时间打算开坑写一些浅谈威胁情报落地的新想法的文章,欢迎留言建议

一、

Urpage【新命名组织】与Bahamut,confucius,白象的关联

https://blog.trendmicro.com/trendlabs-security-intelligence/the-urpage-connection-to-bahamut-confucius-and-patchwork/

关联对象  : 

(1)pikrpro[.]eu (Bahamut)

(2)使用相同的Delphi文件窃取程序 (孔子和白象)

(3)漏洞文档在其它组织的服务器中发现(孔子)

(4)从另一个组织的代码的基础上进行修改使用(Bahamut)

pikrpro[.]eu被Urpage 用于进行钓鱼网站攻击,

pikrpro[.]eu这个域名还关联了两个活动

a. 

利用CVE-2017-8750的文档,最后下载释放C&C为appswonder[.]info的VB后门

b. 

利用CVE-2017-12824(InPage Reader的漏洞)的InPage文件,释放两个文件,一个没毛病,一个是VB后门回连C&C为 referfile[.]com

以上都与Bahamut有关

除了delphi后门相似外,与孔子组织相关的线索为

两个利用不同漏洞的恶意RTF文件,但下载的脚本都包含两个base64编码的URL,一个用于下载诱饵文档,一个用于下载payload

f1a54dca2fdfe59ec3f537148460364fb5d046c9b4e7db5fc819a9732ae0e063

(11882),这个所属孔子。

434d34c0502910c562f5c6840694737a2c82a8c44004fa58c7c457b08aac17bd

(0199),这个的回连C&C是twitck[.]com,属于Urpage

以下为4个组织的武器对比图,×表示有

Urpage组织的资产汇总

https://documents.trendmicro.com/assets/Appendix-TheUrpageConnectiontoBahamutConfuciusandPatchwork.pdf

二、

#漏洞利用#  ZipArchive 2.1.4目录遍历 0-Day

https://github.com/Proteas/ZipArchive-Dir-Traversal-PoC

看见一个formbook会去访问中文黄网,引流一大趋势么。

要网站可私聊。

本文源自微信公众号:黑鸟

人已赞赏
安全工具

Yikesnews第20期:每日安全资讯、工具与资源

2019-10-16 10:44:25

安全工具

总结海莲花最新活动,新技术和新诱饵

2019-10-16 10:44:30

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索