APT组织LuckyMouse技术讨论与情报分享

最新推荐文章于 2023-01-14 20:00:26 发布
最新推荐文章于 2023-01-14 20:00:26 发布
阅读量6.7k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blackorbird/article/details/102462198
版权

组织详情

LuckyMouse,又称EmissaryPanda和APT27,疑似为一个常用语为中文的地区或国家的组织。

具体攻击事件

一起针对某中亚国家的国家级数据中心的攻击事件,不小心被国外某厂商发现了。

攻击工具与媒介

1、HyperBro家族远控

合法应用程序(蓝色),启动器(绿色)和解压缩程序与木马嵌入(红色)

640?wx_fmt=png

文件名向量:白名单程序

Symantec pcAnywhere(IntgStat.exe),

.dll启动程序(pcalocalresloader.dll)和

解压缩程序(thumb.db)

最后阶段的木马被注入到svchost.exe的进程内存中。

所有的dropper的启动模块都使用了Metasploit的shikata_ga_nai编码器混淆,最后在解混淆后会使用LZNT1解压内嵌的PE,并将其映射到内存中。

2、利用CVE-2017-11882的钓鱼文档

3、水坑攻击过程使用的脚本

主要功能为重定向到BEeF实例:

https://google-updata[.]tk:443/hook.js 和一个空的ScanBox实例:

https://windows-updata[.]tk:443/scanv1.8/i/?1,最终会返回一小段JavaScript代码。

640?wx_fmt=png

4、开启了SMBv1的Mikrotik路由器(固件版本6.34.4,疑似存在漏洞)。该路由器外连C&C:bbs.sonypsps[.]com

640?wx_fmt=png

时间线

2017年11月中旬,该地区数据中心存在主机被HyperBro感染,此后不久该国不同的用户开始被重定向到恶意域名为update.iaacstudio[.]com,证明当时已经成功了!

IOC

Droppers

22CBE2B0F1EF3F2B18B4C5AED6D7BB79

Launcher

HyperBro in-memory Trojan

Domains and IPs

blackorbird
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【Web安全社工篇】——水坑攻击
Demo不是emo的博客
03-01 4446
社工篇之水坑钓鱼案例
鱼叉攻击和水坑攻击之概念篇
TT成长博客
04-30 1万+
对,好久没写了。静坐窗前,熟悉的场景,今天有点夏天的感觉。
蓝队攻击的四个阶段(四)
最新发布
weixin_67503304的博客
01-14 1470
外网纵向突破 何为外网纵向突破 如果将目标网络比作一座城池,那么蓝队就是攻城者,而外网纵 向突破就好比在城墙上打开突破口进入城内。
LuckyMouse相关情报-2
blackorbird的博客
09-11 555
谢谢您的关注,祝您生活愉快,事业顺利。卡巴斯基于昨日发布了一篇关于LuckyMouse组织通过投放使用了深圳联软科技的证书签名的驱动程序,并声称已向CNCERT反馈问题。...
[译] APT分析报告:05.Turla新型水坑攻击后门(NetFlash和PyFlash)
杨秀璋的专栏
10-24 6928
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助。前文分享了一种新型无文件APT攻击Kraken,它会利用Windows错误报告服务逃避检测。这篇文章将介绍Turla新型水坑攻击后门(NetFlash和PyFlash),研究人员发现Turla对Armenian的知名网站发起水坑攻击,通过伪造Adobe Flash更新,欺骗受害者下载两个新型恶意软件NetFlash和PyFlash,从而实现恶意攻击,整个攻击的TTP基本没有变
几种诱骗攻击手段(鱼叉、水坑、诱骗)
07-06
几种诱骗攻击手段(鱼叉、水坑、诱骗)说明
什么是水坑攻击?
布袋和尚
02-13 2859
“水坑攻击”,黑客攻击方式之一,顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。 水坑攻击属于APT攻击的一种,与钓鱼攻击相比,黑客无需耗费精力制作钓鱼网站,而是利用合法网站的弱点,隐蔽性比较强。在人们安全意识不断加强的今天,黑客处心积虑地制作钓鱼网站却被有心人轻易识破,而水坑攻击则利用了被攻击者对网站的信任。水坑攻击利用网站的弱点在其中植入攻击代
黑客攻击方式之水坑攻击和URL跳转漏洞
dasgk的专栏
12-16 4754
水坑攻击 在技术日新月异的今天,网络攻防永无止日。技术的发展使得网络攻击形态不断变化,并衍生出不少新的攻击方法,水坑攻击便是其中一种。根据赛门铁克(Symantec)最新发布的2012网络安全威胁报告,水坑攻击已经成为APT攻击的一种常用手段,影响范围也越来越广。 据国外媒体报道,在今年,包括苹果、Facebook和Twitter在内的科技公司网站纷纷遭遇了黑客入侵事件,而且有迹象显示
ATT&ck 入口点 —— 水坑攻击
战神/calmness的博客
02-11 2593
目录 水坑攻击 盗取Cookie phpstudy backdoor JSONP Adobe flash player 28(CVE-2018-4878) Beef 攻击框架 水坑攻击 分析并了解目标的上网活动规律,寻找目标经常访问的网站的漏洞,利用 漏洞在该网站植入恶意代码(陷阱、水坑),在目标进行访问时,攻击形 成。 多种可能被植入的代码,包括: 1. 通过注入某些形式的恶意代码。例如:JavaScript、iframe、跨站脚本 等 2. 植入恶意的广告链接 3. 内置的 .
【ATT&CK】守株待兔式的水坑攻击
不忘初心,护天下安全!
02-02 1127
本博文引自https://github.com/Dm2333/ATTCK-PenTester-Book/ 声明:一切知识服务于国家信息安全建设,如果你是一个攻击者,好走不送!否则后果请自行承担! 一、守株待兔 本文所述守株待兔式攻击,即时在入口点埋设陷阱,等着受害者入坑,此类攻击即常说的Initial Access中的“水坑攻击”。 常见的水坑攻击可利用如下漏洞进行的: 存储型X...
APT41组织分析
makaisghr的专栏
08-09 1万+
以下内容均来自Fireeye公开资料,仅限于学习目的。 APT41 Double Dragon, a dual espionage and cyber crime operation 摘要 APT41不仅是受政府赞助的网络攻击小组,也为谋取经济私利进行一些活动。 APT41针对医疗保健,高科技和电信进行网络攻击活动,包括建立和维持访问,到2015年中期,有窃取知识产权的活动。...
ubnutu/aptapt-get/更新某一软件
ncf的博客
07-09 2万+
目前在Ubuntu18.04以后,尽量使用apt,而不是apt-get。apt可以给出更多的建议安装等提示。 在root用户下, apt upgrade firefox 可以更新firefox软件 普通用户下,sudo apt upgrade firefox ,更新firefox软件。(sudo是以当前用户获得root临时权限) aptapt-get的用法:(apt是新的命令,有一些操作...
威胁情报网站整理
Websec
03-05 1941
公众号: 1、奇安信威胁情报中心 2、360威胁情报中心 3、威胁情报小屋 4、安恒威胁情报中心 5、绿盟威胁情报中心 6、腾讯安全威胁情报中心 威胁情报网站 1、https://ti.qianxin.com/blog/ 2、https://nti.nsfocus.com/securityReport 3、https://x.threatbook.cn/ 4、https://apt.360.cn/ 5、https://blog.netlab.360.com/ 6、https://w
美国NSA泄露文件中提到的神秘APT组织被曝光
blackorbird的博客
11-05 1623
前言2017年,一个名为“影子经纪人”的神秘黑客团体在网上发布了名为“ Lost in Translation ”的泄露数据库。泄露数据库(据称是从美国国家安全局(NSA)入侵获得)包含一系列漏洞利用和黑客工具,其中包括现在永恒之蓝漏洞,以及其发扬光大者WannaCry勒索病毒。但这都不是重点,重点是泄露的文件中有一个名为sigs.py的文件,该文件用作内置的恶意软件扫描程序,NSA黑客使用该文...
APT 攻击详解
键盘的起始页
04-15 2577
所谓APT ,全称是“高级持续性威胁”(Advanced Persistent Threat)。 高级,既指目标高端,通常是政府要员、公司高管之类;也指水平高超。持续性,短则十天数月,长则十年八载甚至不惜一切代价也要拿下。 譬如 “永恒之蓝” 漏洞的始作俑者“方程式组织”,以及被怀疑干涉.
APT 神秘的网络攻击与组织
网络研究观
09-02 1万+
谈起APT,作为网络安全人员常挂在嘴边的一句话:此生发现一个足矣。 为什么大家谈起APT如此向往与激动,了解以下知识有助于你解开APT的神秘面纱: 概念: APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。 入侵方式: 对于APT攻击比较权威的定义是由美国国家标准与技术研...
朝鲜国家黑客组织Lazarus 被指攻击IT供应链
smellycat000的专栏
10-27 910
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成...
linux apt 命令,如何在Linux中使用apt命令
weixin_35123047的博客
04-30 270
apt是一个命令行实用程序,用于在Ubuntu,Debian和相关Linux发行版上安装,更新,删除和管理deb软件包。它结合了apt-get和apt-cache工具中最常用的命令以及某些选项的不同默认值。apt设计用于交互使用。最好在您的Shell脚本中使用apt-get和apt-cache,因为它们在不同版本之间向后兼容,并且具有更多的选项和功能。大多数apt命令必须以具有sudo特权的用户身...
八大典型APT攻击过程详解
树木_xzw的博客
01-13 3758
八大典型APT攻击过程详解 2013-08-27 17:55 启明星辰 yepeng 51CTO.com 字号:T | T APT攻击是近几年来出现的一种高级攻击,具有难检测、持续时间长和攻击目标明确等特征。本文中,小编带你细数一下近年来比较典型的几个APT攻击,分析一下它们的攻击过程。 AD:51CTO 网+首届APP创新评选大赛火热启动——超百万资源等你拿!
近5年典型的的APT攻击事件
热门推荐
煮酒闲谈
08-08 2万+
APT攻击 APT攻击是近几年来出现的一种高级攻击,具有难检测、持续时间长和攻击目标明确等特征。 本文中,整理了近年来比较典型的几个APT攻击,并其攻击过程做了分析 (为了加深自己对APT攻击的理解和学习) Google极光攻击 2010年的Google Aurora(极光)攻击是一个十分著名的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件导致这个搜

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值