台湾D-Link&全景安全公司证书被盗,且被APT组织blacktech利用

释放双眼,带上耳机,听听看~!

↑👆↑👆点关注呗↑👆↑👆点关注呗↑👆↑👆



     前些日子,jpcert报道了恶意软件plead分析,报告都指向APT组织blacktech,一个长期活跃在亚洲地区的组织。该次事件披露了该组织正在攻击日本的事实,并对plead最新数据通讯手法进行了阐述,详细可点击框框处。

相关链接:APT组织blacktech的plead恶意软件分析

https://blog.jpcert.or.jp/2018/06/plead-downloader-used-by-blacktech.html

ESET在今日,发布了一篇报告,文中称plead系列均采用了D-Link的合法证书。如下图所示

目前,该证书在2018年7月3日被D-Link撤销,具体公告如下

相关链接:

https://securityadvisories.dlink.com/announcement/publication.aspx?name=SAP10089

除了D-Link证书外,还有一家台湾的安全公司证书也被滥用,公司名为全景软件。

如下图Changing Information Technology Inc.

    尽管Changing Information Technology Inc.证书于2017年7月4日被撤销,但

BlackTech集团仍在使用它来签署他们的恶意工具。

    这也充分说明了该APT组织的技术手段高超,连这些大企业的数字签名证书都能黑过来。

    已签名的Plead下载器均会去下一段加密shellcode,最后解密后会再去下载最终的Plead后门模块,具体后门接收的命令后所执行的行为如下

同时,信息窃取模块会主要去窃取以下浏览器所存储的密码信息

  • Google Chrome

  • Microsoft Internet Explorer

  • Microsoft Outlook

  • Mozilla Firefox

    

IOC信息 

未签名样本(SHA-1)
80AE7B26AC04C93AD693A2D816E8742B906CC0E3
62A693F5E4F92CCB5A2821239EFBE5BD792A46CD
B01D8501F1EEAF423AA1C14FCC816FAB81AC8ED8
11A5D1A965A3E1391E840B11705FFC02759618F8
239786038B9619F9C22401B110CF0AF433E0CEAD
签名样本(SHA-1)
1DB4650A89BC7C810953160C6E41A36547E8CF0B
CA160884AE90CFE6BEC5722FAC5B908BF77D9EEF
9C4F8358462FAFD83DF51459DBE4CD8E5E7F2039
13D064741B801E421E3B53BC5DABFA7031C98DD9
C&C服务器
amazon.panasocin[.]com
office.panasocin[.]com
okinawas.ssl443[.]org

代码签名证书序列号

D-Link Corporation: 13:03:03:e4:57:0c:27:29:09:e2:65:dd:b8:59:de:ef
Changing Information  Technology Inc: 73:65:ed:e7:f8:fb:b1:47:67:02:d2:93:08:39:6f:51
1e:50:cc:3d:d3:9b:4a:cc:5e:83:98:cc:d0:dd:53:ea

本文源自微信公众号:黑鸟

人已赞赏
安全工具

ShaHmer行动: 疑似华X电脑公司遭受有针对性的供应链攻击

2019-10-16 10:48:59

安全工具

有来有往:伊朗处决美国间谍,特朗普同意对伊朗发动网络战争

2019-10-16 10:49:06

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索