APT29利用WINELOADER变种,针对多个国家外交等单位发起钓鱼攻击,样本逆向分析

最新推荐文章于 2024-09-17 23:15:58 发布
最新推荐文章于 2024-09-17 23:15:58 发布
阅读量573 收藏 9
点赞数 10
文章标签: python 数据结构 线性回归 链表 贪心算法 动态规划 sqlite
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A345545108/article/details/138193208
版权
本文详细描述了一次针对印度和欧洲外交官的钓鱼攻击,涉及APT29组织的WINELOADER样本。攻击链包含hta诱饵、多重混淆、dll劫持和RC4加密等技术手段,使用失陷的WordPress网站作为载荷平台。C2通信已失效,推测可能采用分段载荷技术。
摘要由CSDN通过智能技术生成

一、前言

此次分析的样本来源于威胁情报渠道,样本被Zscaler首次发现于葡萄酒主题活动邀请的邮件附件,是针对印度、欧洲等国家的外交官发起的钓鱼攻击活动,所以将此样本被其命名为WINELOADER。此次鱼叉式攻击涉及的邮件附件相比作者以往见过的样本,执行链路长、新颖且完善,遂记录学习。

样本涉及多个阶段载荷和域名,涉及hta诱饵文件、js混淆、白加黑、dll劫持、特别的密文结构、多次RC4对称加解密等技术细节,并且其中一些域名网站为失陷的合法WordPress网站,被攻击者用于负载载荷。

二、背景

APT29,又名CozyBear, Nobelium, TheDukes,据信是俄罗斯有关的APT组织。该组织攻击活动可追溯至2008年,主要攻击目标包括西方政府组织机构,近年也活跃在俄乌战场中。

三、攻击链概述

攻击链流程如下(偷个懒)。

  • 初始pdf中包含恶意链接,访问、下载压缩包文件。
  • 压缩包文件中包含”.hta“文件,其中包含恶意的、经过混淆的恶意js代码。
  • js代码执行下载后续压缩包载荷,并且解压、执行其中的文件。
  • 文件中包含白exe文件,以及被攻击者精心构造的恶意dll文件,dll文件也是WINELOADER主体的加载器。
  • dll中的恶意代码执行,会继续下载后续载荷,但是目前C2已经失效,猜测可能是类似cobalt strike的分段载荷。
    # 四、样本执行链路分析
    ## 4.1 诱饵pdf文件分析
    钓鱼邮件包含pdf附件,文档内容被精心构造为不同的主题,常见于有针对性目标的邀请函等,诱饵文档中包含恶意链接。

 

PDF邀请中的恶意链接将用户重定向至受感染的网站。

hxxps://seeceafcleaners[.]co[.]uk/wine.php
hxxps://passatempobasico.com.br/wine.php
hxxps://waterforvoiceless[.]org/invite.php

访问链接受害者将下载包含恶意HTA文件的压缩包存档。

 

海安P海云
关注
[系统安全] 六十.威胁狩猎 (1)APT攻击检测及防御与常见APT组织攻击案例分析
杨秀璋的专栏
04-26 864
前文介绍了利用AVClass实现恶意软件家族标注及RAID16经典论文解析。这篇文章将分享APT攻击检测溯源与常见APT组织攻击案例,并介绍防御措施。基础性基础,希望您喜欢,且看且珍惜。
[网络安全自学篇] 八十八.基于机器学习的恶意代码检测技术详解
杨秀璋的专栏
07-19 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了传统的恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。这篇文章将介绍基于机器学习的恶意代码检测技术,主要参考郑师兄的视频总结,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。同时,我再结合自己的经验进行扩充,详细分享了基于机器学习的恶意代码检测技术,基础性文章,希望对
俄罗斯***组织APT29被指使用新型恶意软件***美国实体
weixin_34007879的博客
11-21 325
在11月16日,印度安全公司Cybaze的研究人员发现了一种归属于俄罗斯***组织APT29的新型恶意软件,它似乎与最近针对许多美国重要实体的***有关,这包括军事机构、执法部门、国防承包商、媒体公司和制药公司。与此同时,美国×××在发表的一份声明中也写道:“美国网络安全公司FireEye在最近报道了一起恶意网络***事件,涉及冒充×××工作人员的欺诈行为。另外,没有任何××...
微软警告:APT29间谍攻击猖狂;思科关键漏洞允许黑客远程接管统一通信系统;Jenkins漏洞远程代码执行攻击| 安全周报0126
weixin_55163056的博客
01-26 978
微软警告:APT29间谍攻击猖狂;思科关键漏洞允许黑客远程接管统一通信系统;Jenkins漏洞远程代码执行攻击
【网络间谍篇】这些知名APT组织,背后都有国家级机构支持
goalcent_tech的博客
01-12 1310
除此之外,很多国家APT组织也成为了企业的攻击威胁主要来源之一。该组织的成员非常熟悉我国,对我国的时事、新闻热点、政府结构等都非常熟悉,如国家刚发布出个税政策时,该组织就立即使用个税改革方案作为攻击诱饵主体,此外该攻击组织常用的钓鱼主题还包括绩效、薪酬、工作报告、总结报告等,大部分邮件主体都非常本土化。通过该组织进行的多次攻击活动进行分析,该攻击组织攻击周期较长、诱饵极具迷惑性和诱惑性、擅长使用多种加密算法,同时每次攻击所使用的工具的源代码都经过一定的修改,说明该组织还具有一定的编程能力。
[译] APT分析报告:06.猖獗的小猫——针对伊朗的APT攻击活动详解
杨秀璋的专栏
11-09 8444
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助。前文分享了Turla新型水坑攻击后门(NetFlash和PyFlash),通过伪造Adobe Flash更新,欺骗受害者下载两个新型恶意软件NetFlash和PyFlash,从而实现恶意攻击。这篇文章将详细介绍Rampant Kitten攻击活动,包括Windows信息窃取程序、Android后门和电报网络钓鱼页面,这是Check Point Research机构的分析报告,
Sodinokibi(REvil)勒索病毒黑客组织攻击姿势全解
pandazhengzheng的博客
02-11 1106
Sodinokibi(REvil)勒索病毒黑客组织攻击姿势全解
python动态语言双刃性_攻击与防御的双刃剑:深入分析PowerShell的两面性
weixin_39671467的博客
12-08 190
概述在这一系列文章中,我将站在攻击与防御的两个不同视角,重点介绍已知攻击者如何利用不同的策略和技术来实现其恶意目的,并分析我们应该如何检测并阻止这些恶意活动。我将使用MITRE ATT&CK知识库和术语来说明其中涉及的各项技术。如果大家对MITRE ATT&CK技术不是很了解,建议可以先参考我在2018年发表过的文章和视频,题目名为“了解网络犯罪分子的工作方式,实现更加智能的安全”...
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
热门推荐
杨秀璋的专栏
11-01 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Web渗透的第一步工作,涉及网站信息、域名信息、端口信息、敏感信息及指纹信息收集。这篇文章换个口味,将分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。
智安网络丨人工智能在网络攻防领域的应用及问题分析
zhianwangluo的博客
08-10 818
算法、数据与算力是人工智能发展的三大核心要素。近些年来,在算法增强、数据爆增及算力提升等多种有利因素的驱动下,人工智能飞速发展并在各行各业得到广泛应用,在网络空间安全领域也不例外。网络攻防对抗不断演化升级,人工智能因其具备自学习和自适应能力,可为自动化网络攻防提供助力,已成为网络攻防的核心关键技术之一。 一、人工智能在网络攻防领域的应用 为了更好地理解人工智能在网络攻防领域的应用,现从攻防视角及攻防主体采用人工智能意图这两个维度共四个方面展开(如下图所示)。 图 人工智能在网络攻防领域的应用 (一)人工智能
[网络安全自学篇] 七十一.深信服分享之外部威胁防护和勒索病毒对抗
杨秀璋的专栏
04-29 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前面三篇文章详细分享了WannaCry勒索病毒,包括病毒复现、IDA和OD逆向分析蠕虫传播、防护措施等,那么如何防护呢?所以,接下来这篇文章作者将分享来自深信服老师的《外部威胁防护和勒索病毒对抗》,带领大家看看知名安全厂商的威胁防护措施,包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。基础性文章,希望对您有所帮助,如果存在错误或不足之处,还望告知,加油!
Tcl lnit error: Can’t find a usable init.tcl in the following directories 问题解决
梦想闹钟
09-15 458
实际研究后发现,其实py2exe已经把打包需要的lib放在dist文件夹下了,但是打包后的程序运行后却没有去lib下找,而是去找系统自带的环境变量里找,所以找不到。这个问题出现在我用py2exe打包了一个包含tkinter的图形化界面,在当前电脑上运行无问题,在移动到新电脑上后提示报错、getcwd用于获取当前工作目录绝对路径,在设置环境的变量的时候它用的是绝对路径-所以也导致了在当前电脑上能用而移动后不能用。解决方法是在你的程序里重新设置下环境变量,而且是用相对路径的形式。
[Python数据可视化]Plotly Express: 地图数据可视化的魅力
最新发布
William数据分析的博客
09-17 460
在数据分析和可视化的世界中,地图数据可视化是一个强大而直观的工具,它可以帮助我们更好地理解和解释地理数据。Python 的 Plotly Express 库提供了一个简单而强大的方式来创建各种地图。本文将通过一个简单的示例,展示如何使用 Plotly Express 来创建一个交互式的地图,并探讨其在地图数据可视化方面的应用。
Python世界:力扣29题两数相除算法实践
来知晓的博客
09-13 431
除法运算本质是减法,从理解原理到真正实现还是有距离,建议初步理解后,不参考任何代码,完全自己复现一遍,体会更深。注意提示:目的就是提醒越界问题:-2^31/-1=2&31,超过了整数表达范围。本问题来自于力扣29题,在做完大数相乘后,顺带也看下两数相除。将两数相除,要求不使用乘法、除法和 mod 运算符。给定两个整数,被除数。
JUC从实战到源码:中断机制与API实现
qq_43843951的博客
09-12 1166
在Java中,线程中断是一种机制,用于通知线程应该停止当前正在执行的任务。中断通常用于协同线程之间的合作,以便让线程在适当的时候终止其工作,尤其是在长时间运行的任务或阻塞操作中。通过学了多线程以及synchronized的相关知识,接下来就到了学习线程中断知识。
opencv学习:calcHist 函数绘制图像直方图及代码实现
mohanyelong的博客
09-13 1490
opencv学习:calcHist 函数绘制图像直方图及代码实现
面试真题 | web自动化关闭浏览器,quit()和close()的区别
NHB234567的博客
09-13 395
关闭所有的浏览器窗口,销毁driver操作,则需要使用的是quit方法;当打开了多个窗口,只想要关闭非最后一个窗口的时候,使用的是close方法。这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!close():只关闭当前的浏览器标签页,如果当前浏览器标签页剩下最后一个,则所有标签页面退出。是否编写过对应浏览器退出的测试用例。quit():所有的浏览器窗口退出。关闭当前的标签页,其他窗口不退出。退出当前所有的窗口;
Python——俄罗斯方块
2302_81225694的博客
09-14 1432
这段代码使用了Pygame库来实现游戏的图形界面,通过键盘控制方块的移动和旋转。游戏循环不断更新方块的位置和网格状态,并绘制在屏幕上。在方块达到底部或无法继续移动时,判断是否有满行,并清除满行的方块。游戏会根据方块的状态和移动情况不断更新,直到无法继续下落为止,游戏结束。俄罗斯方块游戏是一款经典的益智游戏,通常使用编程语言Python来实现。请注意,这只是一个简单的示例,可能还有一些功能和优化方面的改进。您可以根据自己的需求进行修改和扩展。
APT攻击路径预测与家族分析方法探索
"这篇文档是田志宏关于面向APT家族分析的攻击路径预测方法的研究,主要探讨了APT攻击的现状,以及如何通过可靠的数据获取和分析来预测攻击路径,还原攻击者的战术意图和主攻方向。研究涉及APT攻击路径检测的两种主要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值