您好!欢迎来到北极熊网

北极熊网

热门搜索: 任正非传    神雕侠侣    红楼梦   

针对贸易行业的情报刺探活动

  • 今日头条
  • 来源:北极熊
  • 编辑:佚名
  • 时间:2022-05-02 21:42
  • 阅读:242

概述

奇安信威胁情报中心在日常威胁发现过程中发现一个专门针对贸易行业进行攻击的团伙,主要目的为获取情报,攻击手段较为单一,发送带有恶意lnk文件的钓鱼邮件进行传播,今年以来较为活跃,我们将其命名为APT-Q-12。

此次攻击捕获的活动样本有如下特点:

  1. 使用鱼叉邮件投递恶意压缩包,

  2. 使用LNK文件进行cisid劫持。

  3. 使用FileRun框架或者第三方平台托管样本

  4. 攻击成功后使用AES加密进行信息传递。

目前无法从C2获取最终的payload,故境内暂无发现受害者。

样本分析

样本信息

样本1:


MD5


B532921045F5A102E82802D088CF298B


文件名


(中文) 接种后不良反应说明.lnk


文件格式


Windows Shortcut (.LNK)


C2


hoaquincloud.com

详细分析

样本1 “(中文) 接种后不良反应说明.lnk”图标伪装为IE浏览器图标,诱导用户点击执行后,会修改注册表中CLSID为{00020424-0000-0000-C000-000000000046}所属的组件为恶意的%userprofile%AppDataRoamingMicrosoftSpeechDLLpropsysctl.db文件(正常组件应为C:WindowsSystem32oleaut32.dll),导致系统在查找的COM对象时,会调用到恶意的组件propsysctl.db。

v2-2c64d2c6ba692091a948b4ed66dd59ba.jpg

接着通过mshta远程加载js脚本https://hoaquincloud.com/c12.txt到内存中执行。

v2-cae71a2fd422523e109c3b330e6c8c1b.jpg


MD5


8DE8D479A3239F6B174BEEF56DE406E2


文件名


propsysctl.db


文件格式


DLL64


C2


185.145.97.62c.statcounter.combitbucket.org

propsysctl.db为64位的dll程序,运行后会调用自身的mainchecker的导出函数。

v2-0ddbc74651d3ecdf9148dd3041e0dd6c.jpg

mainchecker函数运行后,首先创建一个名为"ExplorerLoadingChecks"的互斥体,防止样本多次运行。

v2-4410be234666a1a31beab07a79a0c071.jpg

接着,连接http://msn.com或https://google.com来测试样本是否可正常访问网络,若网络可正常访问,则进行后续行为,否则无后续行为。

v2-5cdc016f5b09cec66fe3ab96a128c526.jpg

获取计算机名信息、获取 c:Program Files*.* 和 c:Program Files (x86)*.* 目录下的文件列表信息,将获取的信息通过AES加密、xor加密后上传到http://185.145.97.62/temp/chebck.php和https://c.statcounter.com/12557356/0/d8c85be6/1/(AESkey 为SKVW2JDJK84JCK92)。

v2-0a03a0263d00e1396206e5626963c668.jpg

最后从http://185.145.97.62/cache/A2或https://bitbucket.org/sorakas/mod/downloads/1932.bmp或https://bitbucket.org/sorakas/mod/downloads/1964.bmp处下载文件保存到%userprofile%AppdataRoamingMicrosoftNetworkFilescombases.db,将其加载并调用导出函数extension执行(后续下载链接都已失效)。

v2-66fda2b38898b48714620348748458dd.jpg

溯源关联

基于奇安信大数据平台溯源关联,找到大量疑似该组织的基础设施。

162.222.214.109

82.221.136.25

185.145.97.62

198.54.117.244

82.221.105.123

192.236.147.112

188.241.58.25

IOCS

MD5:

B532921045F5A102E82802D088CF298B

8DE8D479A3239F6B174BEEF56DE406E2

5F95BC69878DF132C7E487922F3E7848

4251358E54D2BDFBEF9F39AB23A1DD57

AA5D8ED4EC348AED7D80423C59016195

EE1ABAB1F326EA7CDE33A2AE45ED8CC5

6E9FE3B530274F58B7F4DC08F85D27BC

BDB6522F45D8FC9D066AA4C22E886B30

E9E789EAE051281D7A51317D4E2E8BB6

9D0CD5DA0575EB87E767CB011DE930D7

URL:

http://185.145.97.62/temp/chebck.php

http://185.145.97.62/temp/cheack.php

https://c.statcounter.com/12557356/0/d8c85be6/1/

https://c.statcounter.com/12557354/0/adafe4e4/1/

http://185.145.97.62/cache/A1

http://185.145.97.62/cache/A2

https://bitbucket.org/sorakas/mod/downloads/1932.bmp

https://bitbucket.org/sorakas/mod/downloads/1964.bmp

https://bitbucket.org/miravos/style/downloads/1932.bmp

https://bitbucket.org/miravos/style/downloads/1964.bmp

https://hoaquincloud.com/c12.txt

https://msvsseccloud.com

https://nyculturecloud.com

https://hoaquincloud.com

https://controlmytraffic.com

https://tomatozcloud.com

https://trafficcheckdaily.com

https://guesttrafficinformation.com

https://coredashcloud.com


全部评论(0)
资讯详情页最新发布上方横幅
推荐阅读
  • 如何使用presshell在WordPress主机上执行Shell命令
  • 如何使用presshell在WordPress主机上执行Shell命令
  • 关于presshellpresshell是一款针对WordPress的Shell工具,该工具可以帮助广大研究人员上传Shell文件,并在WordPress服务器/主机上轻松执行Shell命令。注意,上传Shell的路径为“/wp-content/plugins/shell/shell.php”。工具下载广大研究人员可以使用下列命令将该项目源码克隆至本地:git clone https
  • 技术文档
  • 来源:北极熊
  • 编辑:佚名
  • 时间:2022-05-06 20:36
  • 阅读:243
  • 为什么黑客如此“钟爱”跨链桥
  • 为什么黑客如此“钟爱”跨链桥
  • 0x1背景介绍随着区块链及链上程序的增长,多链资金转换需求迫切,跨链桥业务随之增加,有业务的地方就会有安全问题,跨链桥为用户提供便利的同时,可能也为黑客提供了另一扇大门,PolyNetwork攻击事件发生后,跨链桥安全问题也随之显露出来。0x2什么是跨链桥?区块链桥,也称为跨链桥,连接两条区块链,允许用户将加密货币从一条链发送到另一条链。跨链桥通过在两个独立平台之间启用代币转移、智能合约和数据交换以及其他反馈和指令来进行资金跨链操
  • 技术文档
  • 来源:北极熊
  • 编辑:佚名
  • 时间:2022-05-06 20:34
  • 阅读:183
  • EvilSelenium:一款功能强大的Chromium浏览器渗透测试工具
  • EvilSelenium:一款功能强大的Chromium浏览器渗透测试工具
  • 关于EvilSeleniumEvilSelenium是一款基于Selenium的渗透测试工具,该工具基于武器化的Selenium实现其功能,可以帮助广大研究人员针对基于Chromium的浏览器进行安全分析和渗透测试。功能介绍1、通过autofill获取存储的凭证信息;2、获取Cookie数据;3、获取网站屏幕截图;4、导出Gmail/O365电子邮件数据;5、导出Whats*App消息;6、下载&提取文件信息;7、向GitHub
  • 技术文档
  • 来源:北极熊
  • 编辑:佚名
  • 时间:2022-05-06 20:33
  • 阅读:214
  • 针对贸易行业的情报刺探活动
  • 针对贸易行业的情报刺探活动
  • 概述奇安信威胁情报中心在日常威胁发现过程中发现一个专门针对贸易行业进行攻击的团伙,主要目的为获取情报,攻击手段较为单一,发送带有恶意lnk文件的钓鱼邮件进行传播,今年以来较为活跃,我们将其命名为APT-Q-12。此次攻击捕获的活动样本有如下特点:使用鱼叉邮件投递恶意压缩包,使用LNK文件进行cisid劫持。使用FileRun框架或者第三方平台托管样本攻击成功后使用AES加密进行信息传递。目前无法从C2获取最终的payload,故境内暂无
  • 今日头条
  • 来源:北极熊
  • 编辑:佚名
  • 时间:2022-05-02 21:42
  • 阅读:243
  • 安恒猎影实验室发现蔓灵花APT组织疑似伪装我国攻击孟加拉国
  • 安恒猎影实验室发现蔓灵花APT组织疑似伪装我国攻击孟加拉国
  • 蔓灵花组织介绍蔓灵花(Bitter)是一个被广泛认为来自印度的APT组织,该组织长期针对我国及周边南亚各国的政府、军工、电力、核等部门发动网络攻击,窃取敏感数据,具有较强的政治背景。近期,安恒安全数据部猎影实验室捕获到多个疑似蔓灵花组织的活动样本。该批样本无论在攻击手法或者武器代码等方面都与该组织此前的攻击活动极为相似,延续了其一贯的攻击特征。蔓灵花组织利用得到权限的巴基斯坦、孟加拉国政府邮箱发起网络攻击活动,我们发现其中一处回连域名使
  • 今日头条
  • 来源:北极熊
  • 编辑:佚名
  • 时间:2022-05-02 21:40
  • 阅读:160
联系我们
电话:18936411277
邮箱:1044412291@qq.com
时间:09:00 - 19:00
公众号:北格软件
底部广告