昨天想重点分享一个ppt,试试效果,来自韩国AhnLab(后来没发成功)
下图为所属朝鲜的所有活跃的组织,里面全是比较熟悉的名字
下面开始重点对Andariel组织进行介绍,这个组织我之前也分析过,是lazarus底下专门负责对外国政府进行打击的小分队。
a.著名行动:
MND (2008), DarkSeoul (2013), Operation Black Mine (2014-2015)
b.家族信息:
Malware : Andarat, Andaratm, Bmdoor, GhostRat, Rifdoor, Phandoor (packed with UPX, Themida, VMProtect)
c.该组织的比较出名的活动,窃取各种机密文件 :
https://www.ibtimes.co.uk/suspects-arrested-south-korea-atm-hacking-probe-aided-by-north-korean-1638293
https://edition.cnn.com/2017/10/10/politics/north-korea-hackers-us-south-korea-war-plan/index.html
d.组织行动时间线
e.攻击链以及感染向量
f.攻击手段
鱼叉攻击:宏
水坑攻击:Active-X 0 day
易受攻击的IT管理系统漏洞:投放免杀样本,窃密样本
供应链攻击:Installer, Updater
g.宏方面如下:
Macro Downloader (2015)
- Attack against Seoul ADEX 2015 Participants MacroDownloader
Macro Downloader (2017)
- Disguised as diplomatic documents -> intended to activate the Macro by showing blurred text
h.ActiveX方面如下:
i.易受攻击的信息管理系统方面
从下图可以看出,该组织分别从主机开放端口,提供更新服务的系统,需要更新的服务器这机房面进行入侵,进行对这些目标的IT管理系统进行漏洞利用