大佬们路过关注一下吧
一、
APT攻击:CHAINSHOT恶意软件
利用CVE-2018-5002 Adobe Flash漏洞的进行分发。
此篇线索来源于这篇文章,也就是当初icebrg发现这个0day的线索。
https://www.icebrg.io/blog/adobe-flash-zero-day-targeted-attack
本次针对性攻击同样使用的为CVE-2018-5002,触发漏洞后,大致通过随机生成的512位的RSA密钥对(目前是可以破解的,这个位数不大,具体参考这个项目https://github.com/eniac/faas/),从而通过公钥进行RSA的私钥计算,来解密AES的密钥从而最后解密payload
而这个payload实际上是一段shellcode,该shellcode最后将
FirstStageDropper.dll释放到内存(也就是CHAINSHOT)
该恶意软件有检测和绕过杀软的手段,并会将
SecondStageDropper.dll注入到一个进程中,这个dll有检测杀软功能,并会去收集受害者系统信息并上传至攻击者服务器。
还有一点值得一提的是,这次的攻击者还是使用了相同的SSL证书,因此仍然可以发现新的基础设施以及新攻击行动。
IOC相关链接:
https://researchcenter.paloaltonetworks.com/2018/09/unit42-slicing-dicing-cve-2018-5002-payloads-new-chainshot-malware/
具网上透露,该系列攻击与APT组织FruityArmor相关,这是一个卡巴曾经披露过的组织,该组织详情如下。
https://securelist.com/windows-zero-day-exploit-used-in-targeted-attacks-by-fruityarmor-apt/76396/
二、
朝鲜APT组织Lazarus的程序员Park Jin Hyok被控告
事件简介如下:
https://www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and
简单来说,就是这名所属lazarus底下的程序员Park Jin Hyok曾经参与wannacry制作,针对索尼影业的攻击,针对SWIFT的攻击,还有针对美国国防武器承包商的邮件攻击等等。
而该男子被曝光的主要原因是由于其当年曾在中国大连进行工作,因此工作过程中一些邮箱均被查的一清二楚。
具体便是这哥们用的一台主机均会去访问这些邮箱,(具体老美怎么做的,你懂的)。
然后这些邮箱就开始发挥作用了,从邮箱注册名,注册时间,注册位置,注册用户名,所填写的恢复邮箱,时区,注册了一些其它别的网站信息,论坛信息,登录是否使用代理等等等等,老美情报机构均可以获取到(想搞你还不简单)。最后集中关联了下面这些图示信息
需要高清图可直接看pdf。
详细诉松书如下,里面涉及了很多溯源技巧,可以参考一二,还有些许情报,从老美情报机构可以查询到如此多的情报接口,可以感觉到数据量级的差异。
https://www.justice.gov/opa/press-release/file/1092091/download
三、曾针对ATM发起攻击的APT组织Silence
完整报告可进知识星球下载。
明后天详细看一下上面几篇的样本,如果有价值就详细写一下
四、攻击技术:利用了Office公式编辑器特殊处理逻辑的最新免杀技术分析(CVE-2017-11882)
链接:https://ti.360.net/blog/articles/cve-2017-11882-exploit-kit-sample/
各位晚安,周末愉快。
欢迎各位加入我的知识星球,方便各位及时处理新鲜情报,提高免疫力。