1、发现朝鲜的APT组织之间存在代码重用,emm,合作共赢,走向小康社会。
代码重用性相关图,这个厉害了
上面都和lazarus相关,下面和Group123有关
包括代码DNA相似性,我觉得可以好好读读这篇
https://mycomputertechnology.us/cyber-security/inspecting-code-reuse-reveals-undiscovered-hyperlinks-amongst-north-koreas-malware-households/09/08/2018/.html
2、与黑产团伙Neverquest的银行木马Bokbot诞生
Bokbot(又名:IcedID),与2017年被披露,其与76service 即后来的 Neverquest/Vawtrak 黑客团体有关,历史可追溯到2006年,之后Neverquest被逮捕并垮台。如今又出现了一个新的bokbot变种,下面为具体信息。
76service 是一种由CRM(又名:Gozi)提供支持的大型数据挖掘服务。它能够从受害者那里收集大量数据,例如,使用formgrabbing从受感染的受害者提交给网站的表格中检索授权和登录凭据。该服务从2006年一直运行到2010年11月,后来乌克兰国民Nikita Kuzmin因行动而被捕,因此服务停止。
而Nikita在被捕几个月前,他在一个私人小组分享了CRM的源码,因此出现了多种Gozi变种,其中最有名的要数一个名为Catch的恶意软件,又被称为Vawtrak或Neverquest。此外,其还与别的恶意软件配合使用分发。
恶意软件组 | 用法/功能 |
Dyre | 在Neverquest感染上下载并执行Dyre |
TinyLoader和 AbaddonPOS | 在Neverquest感染上下载并执行TinyLoader。后来看到TinyLoader下载了AbaddonPOS |
Chanitor / Hancitor | Neverquest利用Chanitor感染新的受害者。 |
最后,在2017年1月,一个名叫Stanislav Lisov的人在西班牙被捕,不久后,Neverquest后端服务器下线,欺诈行动因此再次结束。
现在,与这个团伙相关的bokbot样本出现了,其通过emotet进行分发。详细可见
https://blog.fox-it.com/2018/08/09/bokbot-the-rebirth-of-a-banker/
3、漏洞工具包总结,见下面那篇文章
进公众号历史消息应该是有的
4、几个guo jia队情报,进星球内查看
———more———?————