木曜日威胁情报: 针对学术界的攻击行动和Kelihos僵尸网络之谢幕

释放双眼,带上耳机,听听看~!

主要针对学术界的STOLEN PENCIL攻击活动

        STOLEN PENCIL活动主要针对学术界,许多大学的受害者都拥有生物医学工程专业知识,这可能表明了攻击者瞄准的动机。

       攻击来源为朝鲜,攻击方式为发送鱼叉式网络钓鱼电子邮件,打开后会将其引导至显示诱饵文档的网站,该网站通过JS,会并立即提示安装恶意Google Chrome扩展程序。(chrome插件是刷的评分

恶意Chrome扩展程序声明了在浏览器中的每个URL上运行的权限

       一旦获得立足点,攻击者就会使用现成的工具来确保持久性,包括远程桌面协议(RDP)以维持访问。(不用远控后门) 

具体如下:

1、将键盘操作记录到%userprofile%\ appdata \ roaming \ apach.{txt,log},还可以用作“cryptojacker”,用0x33883E87807d6e71fDc24968cefc9b0d10aC214E替换以太坊钱包地址。此以太坊钱包地址目前具有零余额且无交易。

(就是类似之前替换钱包地址偷数字货币的那些案例)

2、添加具有特定用户名/密码的Windows管理员帐户并启用RDP的工具,可以绕过任何防火墙规则。我们观察到以下用户名/密码组合列表,不知道为什么都带有“1215”:

    • localadmin / Security1215!

    • dieadmin1 / waldo1215!

    • DNSADMIN / waldo1215!

    • DefaultAccounts / Security1215!

    • defaultes / 1qaz2wsx#EDC

除了使用RDP之外,在某次行动中还打包了一个zip压缩包,内含工具如下

使用工具列表如下

      之后会通过从各种来源(如进程内存,Web浏览器,网络嗅探和键盘记录程序)中获取密码来维护访问持续性。 

      并且攻击者注册了大量仿造网站,用以钓鱼,网站上会加载JS,可能用于目标筛选

    域名如下

  • client-message[.]com

  • world-paper[.]net

  • docsdriver[.]com

  • grsvps[.]com

  • coreytrevathan[.]com

  • gworldtech[.]com

下图完美的阐述了这一切,来自友人,不是原图文

相关链接

https://asert.arbornetworks.com/stolen-pencil-campaign-targets-academia/

告别安全界:网络犯罪组织ZOMBIE SPIDER和Kelihos僵尸网络谢幕

        网络犯罪组织ZOMBIE SPIDER,主谋在接管Kelihos僵尸网络后被抓,从此该僵尸网络将被终结束。该犯罪组织主谋似乎与俄罗斯政府有某种联系,特别关注他们对其他民族国家的网络行动,并且还帮助俄罗斯相关部门进行网络安全人才招聘。

        值得一提的是,Kelihos僵尸网络已经换了好几届主人了。

ZOMBIE SPIDER背后的主要威胁演员是Peter Yuryevich LEVASHOV。他使用了绰号Peter Severa或Severa。Levashov是几个俄罗斯地下论坛的成员,他在那里宣传他的产品并表达了他的意见。Levashov使用的化身是一个类似龙的角色


        Kelihos僵尸网络主要通过分发垃圾邮件传播,其感染目标设备后会进行,u盘传播,挖矿,ftp爆破等操作进行进一步传播,并且内置垃圾邮件引擎,类似邮件蠕虫。其具有其他僵尸网络该有的一切功能。

        Kelihos在路由器节点上托管了SOCKS5代理服务,并且利用WinPcap库来窥探主机的网络流量,搜索明文协议HTTP,FTP,POP和SMTP。捕获通过路由器节点泄露到工作服务器(也就是其他节点)的凭据

诱饵网站类似下图

其中该恶意软件疑似由一名为Andrey SABELNIKOV的俄罗斯人制作,恶意软件中非恶意部分大多数代码和以下工程重合

https://github.com/sabelnikov/epee

由于已经被抓,所以看看细节学习一下就好,但目前该僵尸网络还是由部分受害者主机仍然在被感染,不过由于没有主控所以危害不大(flag)

相关链接:

https://www.crowdstrike.com/blog/farewell-to-kelihos-and-zombie-spider/

关注公众号并回复:london blue 或londonblue

即可获取前日的详细的londonblue黑产组织报告

更多精彩,请见知识星球

扫一扫,精彩等你来

本文源自微信公众号:黑鸟

人已赞赏
安全工具

Phpstudy官网于2016年被入侵,犯罪分子篡改软件并植入后门

2019-10-16 10:44:47

安全工具

Magecart旗下威胁组织剖析大报告&针对中东的在野0day漏洞CVE-2018-8589分析情报

2019-10-16 10:44:52

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索