Group123最新行动：Rocket Man || 以及伊朗/墨西哥/俄罗斯诱饵的APT&攻击情报

↑关注一波谢谢大哥大姐们↑

（若不想看全文可以拉到后面看剩下三个情报）

一、Group123最新行动：RocketMan 

        今日，韩国安全公司EST再次披露了一起行动，并提及此前该组织通过Android进行投递的事件，该事件之前我也写过，有兴趣可以翻翻（http://blog.alyac.co.kr/1587）

           

        下图为该组织此前利用过的攻击手段。

        下面进入正题，在今年8月，该组织通过鱼叉攻击对某家公司的人力资源代表进行了攻击。

        一、这次伪装成杀毒软件进行投放。

        二、行动命名是通过pdb路径中的共有特征“Rocket”从而命名

        PDB路径：                     E:\project\windows\Rocket\Ant\Api\PubnubApi\obj\Debug\net35\Pubnub.pdb

E:\project\windows\Rocket\Ant_3.5\Ant\_obj\Release\Ant.pdb

E:\project\windows\Rocket\Ant\Api\PubnubApi\obj\Debug\net35\Pubnub.pdb

E:\project\windows\Rocket\Sys-Guard\Servlet-standalone_Guard\Release\Servlet.pdb

E:\project\windows\Rocket\Sys-Guard\Chutty_Guard\Release\Chutty.pdb

E:\project\windows\Rocket\Servlet\Release\Servlet.pdb

E:\project\windows\Rocket\Ant_4.5\Ant\_obj\Release\Ant.pdb

    

        三、样本中含有中文拼音，haizi  PAPA  BABA

    

        四、当hwp文件落地后，释放的恶意软件会去下载“desktops.ini，然后会通过异或密钥值0×17对“desktops.ini”进行解密操作，最后通过连接ps.pndsn.com进行通讯。可以看到解出来的东西里面还有一个 LiuJin  的中文名字，以便混淆视听。

          pndsn这个网站是一个进行加密传输的即时通讯软件，因此攻击者可以安全的通过这个平台进行命令传输

接下来的内容就是关联去年的一系列的攻击行动，原文涉及资产较多，感兴趣可以直接看原文，下面贴出去年行动中部分相关的PDB路径（不懂原文到底有没有那个括号，先贴上去吧）

E:\))PROG\doc_exe\Release\down_doc.pdb

K:\))pick\ie\test.pdb

D:\))pick\doc_exe\Release\down_doc.pdb

E:\))PROG\doc_exe\Release\down_doc.pdb

E:\))PROG\doc_exe\Release\drun.pdb

E:\))PROG\ie\Release\drun.pdb

E:\))PROG\Upload\Upload\thunder

E:\))PROG\waoki\Release\runner.pdb

E:\))PROG\waoki\Release\kltest.pdb

当然，去年的行动中也含有大量中文信息，taihaole

鉴于新情报共享，过去情报用于关联的原则，我决定不全贴上来了。

IOC：

http://m.ssbw.co.kr/admin/form_doc/image/down/down[.]php（MD5：af6721145079a05da53c8d0f3656c65c）

http://m.ssbw.co.kr/admin/form_doc/image/down/worldnews[.]doc（MD5：1213e5a0be1fbd9a7103ab08fe8ea5cb）

http://m.ssbw.co.kr/admin/form_doc/image/img/111[.]hwp（MD5：edc1bdb2d70e36891826fdd58682b6c4）

http://m.ssbw.co.kr/admin/form_doc/image/img/Ant_3.5[.]exe（MD5：b710e5a4ca00a52f6297a3cc7190393a）

http://m.ssbw.co.kr/admin/form_doc/image/img/desktops[.]ini（MD5：05eef00de73498167b2d7ebdc492c429）

去年行动中设计的C&C

endlesspaws.com

ebsmpi.com

相关链接：

http://blog.alyac.co.kr/1853

除上述外，还有三个较为重要情报

二、

        来自伊朗的攻击行动，针对美国，英国，拉丁美洲，中东地区，使用假新闻网站和社交媒体网络进行攻击。

        具体攻击流程以及相关IOC信息都在图中

        

        网站包括反沙特，反以色列和亲巴勒斯坦的主题，以及对美国有利于伊朗的具体政策的支持，例如美伊核协议（JCPOA）。

        活动具有重要意义，并表明俄罗斯以外的行动者继续参与并尝试在线社交媒体驱动的影响力行动来塑造政治话语。

         ‘LibertyFrontPress[.]com’ 和 ‘InstitutoManquehue[.]org’ 的注册电子邮件与伊朗网站gahvare[.]com的广告一致，多个网站的twitter账户都与伊朗用户相关。

相关链接

https://www.fireeye.com/blog/threat-research/2018/08/suspected-iranian-influence-operation.html

三、

以俄罗斯军队展览为主题诱饵文件分发BISKVIT恶意软件

投递文件名是：

“Выставка”  ，中文展览的意思

具体就是利用了CVE-2017-0199的ppsx文件，最后下载了一个xml脚本，并使用powershell进行下载，最后下载的.net程序在添加自启动后，会drop出BISKVIT恶意家族，最后进行回连操作。

这篇文章料还是很足的，还没仔细看完

C&C：

hxxp://bigboss.x24hr.com

hxxp://secured-links.org/

相关链接

https://www.fortinet.com/blog/threat-research/russian-army-exhibition-decoy-leads-to-new-biskvit-malware.html

四、

针对墨西哥用户的攻击，Dark Tequila行动

        

        Dark Tequila是针对墨西哥用户的复杂恶意活动，其主要目的是窃取财务信息，以及登录凭据到热门网站，从代码版本存储库到公共文件存储帐户和域名注册商。 主要手段，鱼叉攻击和感染USB设备

        

        如果出现不在墨西哥或不是目标的感染主机，则从受害者的机器远程卸载恶意软件。

        下图为遍历磁盘目录，并获取移动设备路径，从而将 autorun.ini和木马本体到移动设备中，从而可以通过U盘进行木马传播，搞搞xp啥的

“Archivos”一词仅供拉丁美洲的西班牙语使用

C&C：

https://46[.]17[.]97[.]12/website/https://174[.]37[.]6[.]34/98157cdfe45945293201e71acb2394d2https://75[.]126[.]60[.]251/store/

相关链接

https://securelist.com/dark-tequila-anejo/87528/

五、

S2-057漏洞原理分析

https://lgtm.com/blog/apache_struts_CVE-2018-11776?from=timeline&isappinstalled=0

加入星球，实时获取一手情报