主题 Python
前言
在我们通过各种来源持续进行威胁监控的过程中,FortiGuard Labs发现了一条安全研究员@h4ckak发表的推文,其内容涉及到可疑文件,该文件看起来像是APT活动中的诱饵文件。我们对其进行了更加深入的研究,发现该文件很可能是新型BadPatch恶意活动的一部分。BadPatch是指一系列恶意软件,在历史上某次恶意活动中集中使用,可能与2017年首次发现的加沙黑客组织相关联。根据我们发现的恶意软件的编译时间戳来判断,该组织自2012年以来,就持续参与针对中东地区的间谍活动。从2017年至今,BadPatch已经在将近两年的时间内脱离了我们的视野。
安全研究员Ring4sky的推文:
在本文中,我们对此次攻击中使用的新型恶意软件进行分析,根据在攻击代码中发现的字符串,我们将新型恶意软件命名为“B3hpy”(读作:bepai)。
UID使用“b3h”字符,版本号为“Py 0.1”:
该恶意软件是使用Python进行编译的恶意软件,由多个组件组成,可以从目标受害者的主机中窃取并渗透数据。我们还发现该恶意软件中存在特定的模式,并以此判断这个恶意软件可能与BadPatch相关。私信博主001 领取完整项目代码!
攻击维度
上传到VirusTotal的攻击样本,是一个名为رئيس الوزراء محمد إشتيه .scr的可执行文件(翻译:总理Mohammad Ishtayeh.scr)。尽管我们没有找到该文件的初始向量,但我们认为它是以恶意邮件的附件形式发送的,这一点与之前BadPatch此前的攻击过程一致。
该可执行文件属于SFX类型,其中包含两个文件。
包含诱饵文件的SFX可执行文件:
在执行之后,该文件将打开decoy.doc文件,这个文件中包含的文本,似乎是从Sama News的新闻文章中提取的。
诱饵文件:
新闻站点,可能恶意Word文档从中复制了一些文本:
这个恶意文件还会执行d.exe,可执行文件仅在64位Windows计算机上有效。但是,我们相信也有32位版本的恶意可执行文件,同时还存在一些其他的组件,我们将在后文详细讨论。d.exe负责下载三个文件。
下载的其他文件:
值得关注的是,攻击者将其恶意软件文件托管在GitHub上。有一些文件是在两年前上传的,而其他文件是几天前上传的。但是,根据