高级威胁情报新增与补缺 (海莲花三个样本情报,朝鲜,turla,APT10等)

释放双眼,带上耳机,听听看~!

新增部分

一、

海莲花最新攻击 ,https://open.betaoffice.net  (31.3.232.109 )系列C&C

投放的文档,宏代码高度一致。

①  indo.docx

(ee836e0f7a40571523bf56dba59898f6)

里面有一段base64外加解密后进行转码的过程,可以解出C&C

https://open.betaoffice.net/draa.png

②  20180910_NHNNKG_393_KGI-THNS&KSNB.doc

(8e289e17729c2c4903c0694d3ab291ed)

Thông báo kế hoạch kiểm tra công tác thi đua khen thưởng 2018

【公布2018年仿效和表彰检查计划】

https://open.betaoffice.net/nani.png 

该png实际为一个WMI scriptlet,,其中ttes.jpg已经无法下载

疑似另外一个下载脚本备份indo.png

③BBLV_ASC_DG_092018.docx   

(3a574c28beca4f3c94d30e3cf3979f4c)

打开后与②的样本一致

 

二、图可放大另存看,9月13号lazarus的样本与此前样本的关联图

三、

Turla组织的键盘记录器分析

https://0ffset.wordpress.com/2018/09/14/post-0x17-1-turla-keylogger/

四、

FireEye 发布报告中国APT10对日本的攻击:

https://www.fireeye.com/blog/threat-research/2018/09/apt10-targeting-japanese-corporations-using-updated-ttps.html

补缺部分

一、

ArmaRat:针对伊朗用户长达两年的间谍活动

http://blogs.360.cn/post/analysis_of_ArmaRat.html

二、

Cobalt组织最新攻击以及CobInt下载器分析

https://www.proofpoint.com/us/threat-insight/post/new-modular-downloaders-fingerprint-systems-part-3-cobint

实时情报推送,欢迎加入

本文源自微信公众号:黑鸟

人已赞赏
安全工具

针对中东地区的APT组织WindShift,该组织可利用自定义URL Scheme来远程感染macOS目标(需交互)

2019-10-16 17:32:29

安全工具

Group123最新行动:Rocket Man || 以及伊朗/墨西哥/俄罗斯诱饵的APT&攻击情报

2019-10-16 17:32:32

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索