朝鲜APT组织Group123/APT37在twitter上发布加密后的C&C命令,解密后出现新IOC

释放双眼,带上耳机,听听看~!

事件大致如下,该组织在twitter上发布多条加密后的字符串,经鉴定为

AES CBC 256 , IV = {0x00,..,0x0F}

大约 5, 000 命令被解密, 其中一些在这里。북한 = 北朝鲜, 군차량 = 军用车, 안보 = 国家安全

http://www.probateproject[.]com/helper.jpg

http://www.wildrush[.]co.kr/bbs/data/image/user.jpg

http://www.acddesigns[.]com.au/clients/ACPRCM/you.jpg

此后,大致是该组织察觉解密算法已经暴露,因此改变了加密算法。

此外,该组织还有一些新动向

如下列这起利用CVE-2017-8291进行恶意hwp文档构造并投放的案例,最后会释放该组织的标志性远控    ROKRAT家族

详细IOC如下:

(제출용)신청서.hwp

a636cd2f1ba46a9af23f9c0a24f8ee4e

触发漏洞的EPS文件

BIN0001.eps

fced98d03bf14529be7ef8d2af8d9417

ROKRAT:

113637bc6f6f84d74ec2a4d0e988300b

今日推荐阅读:

360发布  蓝宝菇(APT-C-12)-核危机行动揭露

https://mp.weixin.qq.com/s/BmHQsiNIRdgmGBtsAPdjTQ

蓝宝菇-核危机行动揭露

本文源自微信公众号:黑鸟

人已赞赏
安全工具

攻击你脑子里的芯片吧//电信诈骗(卫星电话)新技术趋势//URLZONE

2019-10-16 13:28:16

安全工具

EMOTET,URSNIF,DRIDEX&BitPaymer之间的关联性分析

2019-10-16 13:28:22

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索