点个关注,重新出发
一、
该文章参考了,8月1日美国司法部对FIN7的三名成员的诉讼书。
(https://www.justice.gov/opa/pr/three-members-notorious-international-cybercrime-group-fin7-custody-role-attacking-over-100)
文章中提及了萨顿定律,该定律以著名的银行大盗威利·萨顿的名字来命名的。当时记者问萨顿为什么要抢劫银行,他说:‘因为那里有钱!”,意指在诊断时,首先应该考虑显而易见的问题。
根据起诉书,FIN7使用Carbanak恶意软件作为其攻击的一部分。开源报告表明FIN7还使用了BATELEUR,HALFBAKED,BIRDDOG和GRIFFON恶意软件(https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html),并且在基于SEC的攻击的情况下,POWERSOURCE和TEXTMATE恶意软件也被用于Cobalt Strike Beacon有效载荷。
相关链接:https://www.digitalshadows.com/blog-and-research/mitre-attck-and-the-fin7-indictment-lessons-for-organizations/
二、朝鲜APT组织Group123的几张活动示意图
三、
TA555黑客组织针对酒店业,投放AdvisorsBot恶意软件
恶意软件使用HTTPS与C&C服务器通信。在从感染主机到C&C的请求中,URI包含用于识别受害者的编码数据,例如:
/aa/rek5h/lnl5/s4zakljmo/4f/xbdju4a02tnxywx/etl2dni405a1khwxyg0r2.jpg
URI中编码的数据包含机器SID,计算机名称的CRC32哈希值,一些未知的硬编码值以及Windows版本
还有发现AdvisorsBot下载器变种,完全用PowerShell和.NET编写,称为PoshAdvisor。
https://www.proofpoint.com/us/threat-insight/post/new-modular-downloaders-fingerprint-systems-part-2-advisorsbot
第一部分如下
https://www.proofpoint.com/us/threat-insight/post/new-modular-downloaders-fingerprint-systems-prepare-more-part-1-marap
还有最后提供一个该恶意软件对WindowsAPI函数进行hash计算从而避免检测的解hash脚本
https://github.com/EmergingThreats/threatresearch/blob/master/advisorsbot/func_hashes.py