Fin7攻击经验总结,Group123样本分析图,TA555黑客组织

最新推荐文章于 2024-02-06 17:25:34 发布
最新推荐文章于 2024-02-06 17:25:34 发布
阅读量752 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blackorbird/article/details/102462244
版权

点个关注,重新出发

640?wx_fmt=png

一、

该文章参考了,8月1日美国司法部对FIN7的三名成员的诉讼书。

(https://www.justice.gov/opa/pr/three-members-notorious-international-cybercrime-group-fin7-custody-role-attacking-over-100)

文章中提及了萨顿定律,该定律以著名的银行大盗威利·萨顿的名字来命名的。当时记者问萨顿为什么要抢劫银行,他说:‘因为那里有钱!”,意指在诊断时,首先应该考虑显而易见的问题。

根据起诉书,FIN7使用Carbanak恶意软件作为其攻击的一部分。开源报告表明FIN7还使用了BATELEUR,HALFBAKED,BIRDDOG和GRIFFON恶意软件(https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html),并且在基于SEC的攻击的情况下,POWERSOURCE和TEXTMATE恶意软件也被用于Cobalt Strike Beacon有效载荷。

640?wx_fmt=png

相关链接:https://www.digitalshadows.com/blog-and-research/mitre-attck-and-the-fin7-indictment-lessons-for-organizations/

640?wx_fmt=png

二、朝鲜APT组织Group123的几张活动示意图

640?wx_fmt=png

640?wx_fmt=jpeg

640?wx_fmt=png

三、

TA555黑客组织针对酒店业,投放AdvisorsBot恶意软件

640?wx_fmt=png

恶意软件使用HTTPS与C&C服务器通信。在从感染主机到C&C的请求中,URI包含用于识别受害者的编码数据,例如:

       /aa/rek5h/lnl5/s4zakljmo/4f/xbdju4a02tnxywx/etl2dni405a1khwxyg0r2.jpg

URI中编码的数据包含机器SID,计算机名称的CRC32哈希值,一些未知的硬编码值以及Windows版本

640?wx_fmt=png

还有发现AdvisorsBot下载器变种,完全用PowerShell和.NET编写,称为PoshAdvisor。

https://www.proofpoint.com/us/threat-insight/post/new-modular-downloaders-fingerprint-systems-part-2-advisorsbot

第一部分如下

https://www.proofpoint.com/us/threat-insight/post/new-modular-downloaders-fingerprint-systems-prepare-more-part-1-marap

还有最后提供一个该恶意软件对WindowsAPI函数进行hash计算从而避免检测的解hash脚本

https://github.com/EmergingThreats/threatresearch/blob/master/advisorsbot/func_hashes.py

640?wx_fmt=png

640?wx_fmt=png

blackorbird
关注
【网络入门】详解常用的基础网络知识(面试笔试常考内容)
dvlinker的技术专栏
04-26 6万+
本文结合多年来的工作实践,来详细讲述一下作为IT从业人员要掌握的一些基础网络知识。
视觉SLAM笔记(64) 八叉树地
热门推荐
氢键H-H
11-23 1万+
点云地缺陷、八叉树、生成八叉树地
[译] APT分析报告:03.OpBlueRaven揭露APT组织Fin7_Carbanak(上)Tirion恶意软件1
08-03
1.键盘记录插件 2.过程监控器插件 1.文件结构 3.Loader组件 1.键盘记录插件 2.过程监控器插件
朝鲜APT组织Group123利用美朝会议消息构造恶意HWP文件针对韩国发起攻击
blackorbird的博客
06-03 334
本次攻击仍为以往追踪的Group123所发起的攻击事件,恶意文档文件名为미북 정상회담 전망 및 대비.hwp ,即美朝峰会的前景与展望,该次会议将在6月12日举行。该...
FIN7网络犯罪集团“高层”组织者被判十年监禁
weixin_40344166的博客
04-20 236
美国司法部(Departmentof Justice)称,35岁的乌克兰公民Fedir Hladyr是黑客组织FIN7的系统管理员。该网络犯罪集团FIN7(又称为Carbanak集团和Navigator集团)。 ​ 2018年,在美国执法部门的要求下,他在德国被捕,并被引渡到西雅。2019年9月,他承认犯有共谋电信欺诈罪和一项共谋电脑黑客罪。 据美国司法部(Department of Justice)称,Hladyr曾担任FIN7的系统管理员,在收集被盗支付款卡信息、监督FIN7黑客、...
FIN7 2.0归来:“借尸还魂”的可疑组织
systemino的博客
05-14 613
2018年8月1日,美国司法部宣布逮捕了几名涉嫌与FIN7网络犯罪组织相关的嫌疑人。 FIN7从2015年起开始运营,曾针对数百家公司开展过入侵行动,FIN7的幕后策划者还通过开办假公司,雇佣远程测试人员、开发人员和翻译人员参与他们的恶意业务。其恶意活动的主要目的是窃取公司的金融资产(如借记卡),或取得财务部门的电脑权限和金融数据,进而盗取公司资金。 在2018年至2019年期间,卡巴斯基实验室...
[译] APT分析报告:03.OpBlueRaven揭露APT组织Fin7/Carbanak(上)Tirion恶意软件
杨秀璋的专栏
10-04 7006
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助。前文分享了钓鱼邮件网址混淆URL逃避检测,这篇文章将介绍APT组织Fin7 / Carbanak的Tirion恶意软件,包括OpBlueRaven行动。
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 005-网络安全应急技术与实践(黑客入侵技术)
最新发布
时光隧道
02-06 7万+
WHOIS查询是一种用于确定域名或IP地址的所有者和注册信息的公共数据库查询服务。使用WHOIS查询,您可以查找域名的注册商、注册日期、到期日期、域名所有者的联系信息以及域名服务器等相关信息。WHOIS协议通常使用TCP端口43进行通信。请注意,由于WHOIS是公开数据库,因此某些敏感信息(例如个人联系信息)可能会被隐藏或保护,以保护个人隐私。
【Java】基于TA-Lib技术分析指标研究
黑白猿的琐碎日常
11-03 3万+
【Java】SFC融媒体项目基于TA-Lib技术分析指标研究 【Java】SFC融媒体项目基于TA-Lib技术分析指标研究 0. 前言 1. TA-Lib介绍 2. TA-Lib数据准备 2.1 指标因子MasterData 2.2 指标结果数据 3. TA-Lib指标SAR 3.1 SAR介绍 2.2 SAR计算 3.3 SAR标准 3.4 SAR优点 3.5 SAR 实...
Wireshark经典实践和面试13点总结
数据知道的博客
08-05 2万+
wireshark是目前全球使用最广泛的开源抓包软件(前身为Ethereal),由Gerald Combs编写并与1998年以GPL开源许可证发布。能在多种平台上抓取和分析网络包。形界面非常友好,也可以使用命令行形式:TShark。wireshark是一款网络嗅探工具。可以监视网络的状态、数据流动情况以及网络上传输的信息。Wireshark不仅支持上百种网络协议的解析(如网络基础协议:ARP, DNS, DHCP;数据传输协议:TCP, UDP;高级应用协议:HTTP, SMTP/POP3, SMB。..
SYN和FIN同时设置攻击
金溪的博客
10-20 2714
在TCP报文的报头中,有几个标志字段: 1、 SYN:连接建立标志,TCP SYN报文就是把这个标志设置为1,来请求建立连接; 2、 ACK:回应标志,在一个TCP连接中,除了第一个报文(TCP SYN)外,所有报文都设置该字段,作为对上一个报文的相应; 3、 FIN:结束标志,当一台计算机接收到一个设置了FIN标志的TCP报文后,会拆除这个TCP连接; 4、 RST:复位标志,当IP协议...
恶意软件NOKKI和朝鲜“Group123”APT组织关联的最新证据
苏诚的博客
11-18 1276
Palo Alto Networks的研究人员近期发布了一篇关于NOKKI恶意软件的报告,报告表示NOKKI和新发现的KONNI恶意软件共用代码。尽管在此报告中没有说明,NOKKI还与KimJongRAT木马共享代码(该木马由Cisco Talos的Paul Rascagnères于2013年发现)。在Palo Alto的另一份报告中,还公布了NOKKI与朝鲜攻击者APT37(又称收割者或Gr...
FIN7 正在转向密码重置和软件供应链攻击
smellycat000的专栏
04-06 281
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士团队专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应...
tcp的fin&rst flood攻击与防御
focus on security
04-15 4119
tcp的fin&rst flood攻击与防御
TCP的FIN、ACK、SYN、URG、PSH及攻击方式
JoeBlackZQQ的专栏
08-05 1724
From: http://www.hackbase.com/tech/2009-10-08/56746.html   三次握手Three-way Handshake  一个虚拟连接的建立是通过三次握手来实现的  1. (B) –> [SYN] –> (A)  假如服务器A和客户机B通讯. 当A要和B通信时,B首先向A发一个SYN (Synchronize) 标记的包 ...
疑似TA555针对乌克兰国家边防卫队的最新攻击活动分析
systemino的博客
08-01 392
概述 近日,奇安信威胁情报中心红雨滴团队在日常的样本监测过程中,捕获一例针对乌克兰国家边防卫队伊斯梅尔支队的攻击样本,该样本伪装成乌克兰国家财政局进行鱼叉邮件投递,诱导受害者启用带有恶意宏代码的附件文档。一旦恶意宏代码得以执行,便会在受害者机器上运行PoshAdvisor恶意软件,从而控制受害者计算机。 经溯源关联,该攻击文档疑似来自TA555组织[1],TA555是国外安全组织Pr...
世界各国 MCC 和 MNC 列表
weixin_30888707的博客
05-09 5373
http://www.cnblogs.com/inteliot/archive/2012/08/22/2651666.html常见MCC:代码(MCC) ISO 3166-1 国家202 GR 希腊204 NL 荷兰206 BE 比利时208 FR 法国212 MC 摩纳哥213 AD ...
MVC+Jquery+autocomplete(汉字||拼音首字母搜索)
weixin_34292959的博客
03-04 6892
最近项目中用到了autocomplete了,总结一下经验。 我们先来看一下效果: 下面我们来具体说一下使用的过程: 1、我们现在准备一下去多大学的数据,可以去我的网盘下载:http://pan.baidu.com/share/home?uk=2720046087#category/type=0,其中有两个,一个是        AllCollage(刚开始里面没有拼音码,是我自己用了一个...
网络安全
herb8的博客
07-25 575
硬件防火墙 :    用专用芯片处理数据包,CPU只作管理之用。使用专用的操作系统平台,避免了通用性操作系统的安全性漏洞。高带宽,高吞吐量,真正线速防火墙。即实际带宽与理论值可以达到一致.安全与速度同时兼顾。没有用户限制。性价比高。管理简单,快捷,NetScreen 系列更提供Web方式管理。  识别方法:产品外观为硬件机箱形,此类防火墙一般不会对外公布其CPU或RAM等硬件水平,其核心为硬件芯片...
网络攻击手段原理深度解析
"常见网络攻击手段原理分析" 本文件详细阐述了各种常见的网络攻击手段及其原理,涵盖了多种针对TCP/IP协议栈的攻击方法。这些攻击主要包括: 1. TCP SYN拒绝服务攻击攻击者通过发送大量的SYN报文,使得目标系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值