【情报分享1234】来自海莲花组织的道歉,然后再给你扔了个恶意文档

释放双眼,带上耳机,听听看~!

求关注,求抱大腿,求把本菜鸡带走

一、

本次攻击事件主要是,在9月12日,当受害者(越南某公司)在收到海莲花组织发来的邮件后,该邮件内嵌了一个url,该url下载后是一个恶意文档。

此时该受害者回复,文档下载失败后,该组织重发了一封邮件说明抱歉,并且此次的邮件中带有附件。

样本hash:72263750df84e24fe645206a51772c88

样本名:HopDong-XXX-TP-092018.docx    

邮箱信息:diemtruong90.sk@gmail.com

邮件内容:

图1 受害者收到带有url的邮件

图2 受害者发送邮件说明下载失败,然后攻击者发送了新的邮件并附带恶意文档给受害者

ioc: https://open.betaoffice.net/lane.png

下面该图为该组织在上周攻击的邮件内容,依旧是使用这个邮箱。

二、

#黑产团伙#   Iron Group,投放XBash,一种针对Linux和Microsoft Windows服务器的新恶意软件系列,删数据库并且带自我传播功能

https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/

Iron Group是一个以勒索软件攻击而闻名的威胁组织,xbash家族由其开发

该家族使用python开发,大多数用于windows,小部分用于linux。

如果Xbash成功登录到包括MySQL,MongoDB和PostgreSQL的服务,它将删除服务器中几乎所有现有数据库(除了存储用户登录信息的一些数据库),创建一个名为“PLEASE_READ_ME_XYZ”的新数据库,并留下赎金消息进入新数据库的表“WARNING”

当Xbash发现目标有Hadoop,Redis或ActiveMQ运行时,它也会尝试利用该服务进行自我传播。目标有三个已知漏洞:

1、Hadoop YARN ResourceManager未经身份验证的命令执行,于2016年10月首次披露,未分配CVE编号。

2、Redis任意文件写入和远程命令执行,于2015年10月首次公开,未分配CVE编号。这在下面的图6中显示。

3、ActiveMQ任意文件写入漏洞,CVE-2016-3088。

上图为Redis漏洞利用,Xbash将直接执行shell命令下载并运行恶意Shell或Python脚本,或创建新的cron作业来执行相同操作。恶意脚本从同一C2下载服务器使用Xbash。在任何一种情况下,它们的主要功能是杀死其他流行的Coinminers,下载由Iron cybercrime小组开发的Coinminers,并将Xbash本身下载到目标系统以进一步传播。

Xbash的另一个值得注意的特性是它使用Redis和HTTP服务来确定是否在Linux或Microsoft Windows上安装了易受攻击的Redis服务。如果被扫描的目标同时具有易受攻击的Redis服务和HTTP服务,则Xbash将尝试使用Redis漏洞泄漏的信息来猜测HTTP Web服务器的安装位置。然后,Xbash使用该位置来猜测目标正在运行的操作系统(Linux或Windows),如下图

三、

侧重于通信协议分析的角度分析

BONDUPDATER 2.0

https://asert.arbornetworks.com/tunneling-under-the-sands/

对应下面这篇

APT组织OrlRig使用BONDUPDATER变种攻击中东政府

四、

lazarus利用manuscrypt的新攻击,HWP恶意软件伪装成韩国发展协会(房地产协会),前几天发过,补发链接

http://sfkino.tistory.com/69

这两天经常有人后台留言微信群,欢迎各位来群发情报,只要不涉及我党的信息就行。

本文源自微信公众号:黑鸟

人已赞赏
安全工具

涉嫌谋杀、逃税、嗑药...杀毒软件McAfee创始人又要竞选总统了

2019-10-16 10:48:09

安全工具

特朗普政府决定重新授权美国国家安全局(NSA)间谍(监控)计划

2019-10-16 10:48:16

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索