APT组织Reaper新Dropper公开:NOKKI和DOGCALL存在关联性

最新推荐文章于 2024-08-02 08:30:00 发布
最新推荐文章于 2024-08-02 08:30:00 发布
阅读量435 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blackorbird/article/details/102462279
版权

国庆节快乐

640?wx_fmt=png

披露时间:2018.10.1

APT组织:Reaper(Group123,apt37)

该组织特定使用的与本次事件相关恶意软件家族:DOGCALL

新公开恶意dropper家族:Final1stspy

pa详细对前些日 (

主要内容:

分析人员在对NOKKI的系列攻击进行分析途中,发现了一个恶意宏文档,该文档使用了一种不同寻常的方法,它首先将base64编码的文本转换为十六进制,然后将该十六进制转换为文本字符串。

如下所示

640?wx_fmt=png

具体对应的转换函数,还有恶意软件作者的注释

640?wx_fmt=png

紧接着,通过反向搜索,发现了类似的样本,样本中含有朝鲜相关的诱导性语句,语句来自公开新闻(http://www.thedrive.com/the-war-zone/21430/procession-of-chinese-and-north-korean-jets-have-airlifted-kim-and-company-to-singapore)

hash:

e02024f38dfb6290ce0d693539a285a9 

文件名:(世界杯预测)

World Cup predictions.doc

640?wx_fmt=png

这个世界杯预测的样本首先下载vb文件,文件中也含有该转换编码的函数

http://kmbr1.nitesbr1.org/UserFiles/File/image/home.html

最后通过执行vb脚本,会下载一个DLL和一个可执行文件,也就是他们所称的Final1stspy恶意软件

GET请求包如下,具体指令的解释请阅读原文640?wx_fmt=png

该恶意软件最后向C&C服务器请求Payload,最后使用0x49的单字节XOR密钥进行解密后会释放DOGCALL木马也就是reaper组织专用木马。

因此,综上所述,在不排除恶意软件作者故意搞事的情况下,NOKKI和DOGCALL还是存在关联性的。

同时,也祝贺又找到了reaper组织的新Dropper,Final1stspy。

IOC

World Cup predictions Sample

66a0c294ee8f3507d723a376065798631906128ce79bd6dfd8f025eda6b75e51

 

Final1stspy Samples

0669c71740134323793429d10518576b42941f9eee0def6057ed9a4ba87a3a9a

fb94a5e30de7afd1d9072ccedd90a249374f687f16170e1986d6fd43c143fb3a

 

DOGCALL Samples

3fee068bf90ffbeb25549eb52be0456609b1decfe91cda1967eb068ef2c8918f

 

Infrastructure

kmbr1.nitesbr1[.]org

 

相关链接(或点击原文链接):

https://researchcenter.paloaltonetworks.com/2018/10/unit42-nokki-almost-ties-the-knot-with-dogcall-reaper-group-uses-new-malware-to-deploy-rat/

blackorbird
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
朝鲜APT组织RedEye(Reaper)||ISIS持续进行 "OpTheWorld"行动
blackorbird的博客
08-15 295
一、朝鲜APT组织RedEye(Reaper/Group 123)活动与总结历史攻击事件与手段还有文档内容标题历史样本家族与对应功能Reloader(DocPrint...
REAPER-ReaScripts:X-Raym用于Cockos的免费和开源脚本REAPER
02-03
ReaScripts是REAPER的脚本语言,基于Lua,允许用户自定义工作流程,创建宏,以及开发的插件和工具。X-Raym是其中一个免费且开源的ReaScripts,专门为Cockos的REAPER设计,旨在增强和优化工作体验。 X-Raym提供了...
恶意软件NOKKI和朝鲜“Group123”APT组织关联的最证据
苏诚的博客
11-18 1263
Palo Alto Networks的研究人员近期发布了一篇关于NOKKI恶意软件的报告,报告表示NOKKI发现的KONNI恶意软件共用代码。尽管在此报告中没有说明,NOKKI还与KimJongRAT木马共享代码(该木马由Cisco Talos的Paul Rascagnères于2013年发现)。在Palo Alto的另一份报告中,还公布了NOKKI与朝鲜攻击者APT37(又称收割者或Gr...
亚马逊 RAG 突破:REAPER 技术开启大型智能对话助手境界
2401_85375298的博客
08-02 409
REAPER 仅用一个更小巧的 LLM,便能制定出一份详尽的计划,明确了所需调用的工具、调用顺序及其参数。REAPER 在挑选合适工具序列的**准确度高达 95%,并且在生成正确工具参数方面准确度达到 92%**。REAPER 融合了自适应 RAG、问题配对和 ReWOO 的理念,利用一个较小的大语言模型通过 CoT 来推理制定检索计划。相比过去的 Rufus,使用的是一个大型 LLM,大大降低了因为大型模型产生的高延迟、和高硬件成本。如上图所示,一个需要多步检索的查询示例。
探秘Reaper:一款强大的音频制作和编辑工具
gitblog_00027的博客
04-21 601
探秘Reaper:一款强大的音频制作和编辑工具 项目地址:https://gitcode.com/sp4rkw/Reaper 项目简介 Reaper 是一个全功能、跨平台的数字音频工作站(DAW),它专为音乐制作人、声音设计师和录音师设计,提供丰富的音频处理、混音、录制和 MIDI 编辑功能。这款开源项目不仅在专业领域受到欢迎,也因其易用性和高性价比而深受业余爱好者喜爱。 技术分析 强大的核心引...
reaper:Leandro Facchinetti的REAPER效果和脚本
04-30
Leandro Facchinetti的REAPER效果和脚本 如何安装 将以下存储库添加到 : https://github.com/leafac/reaper/raw/master/index.xml 如果您是手,请查看(尤其是11:26)。 多机位编辑 安装效果链: 自动混音器 ...
reapack::package:REAPER的软件包管理器
02-03
ReaPack:REAPER的软件包管理器 访问以获取即用型二进制文件,用户指南或软件包上传工具。从源头建造克隆存储库和子模块: git clone --recursive https://github.com/cfillion/reapack.git先决条件软件要求: 3.15...
reaper_remote:Android reaper Web 远程应用程序
07-24
reaper_remote Android reaper Web 远程应用程序链接: 最的 APK - Beta 0.1: : 简化的远程模板 - Beta 0.1: : 概述 :什么 : 自动连接到您的 Reaper 本地 Web 远程实例并持续保持开启状态的 Android 应用程序...
reaper_scripts:reaper_scripts
03-30
6. **脚本管理**:了解如何在Reaper中加载、运行和组织脚本,以及如何调试和错误处理。 7. **版本控制**:对于多脚本项目,了解如何使用版本控制系统(如Git)来管理代码,确保更和协作的顺利进行。 总的来说,这...
基于Android二维码点餐系统设计与实现.docx
08-14
基于Android二维码点餐系统设计与实现.docx
和娱乐系统音乐相关的数据集
08-14
娱乐系统音乐数据集 数据说明: 数据集由 397个NES 游戏的配乐中的 5278 首歌曲组成。该数据集代表了 296个独特的作曲家,歌曲包含超过 200 万个音符。从 NES 游戏的汇编代码开始构建 NES-MDB,其中包含准确呈现 chiptune 所需的精确定时和参数值。将数据集分成训练集、验证集和测试集,确保没有作曲家出现在多个分割中。 NES合成器有五种乐器声音:两个脉冲波发生器(P1、P2)、一个三角波发生器(TR)、一个打击乐噪声发生器(NO)和一条音频取样回放通道(为了简洁省略)。每种声音都通过修改四个8位寄存器来编程,这些寄存器更音频合成状态。使用 NES-MDB 的目的是让研究人员在研究 NES 音乐的同时,屏蔽掉古旧音频合成芯片的内部工作原理。
erlang-23.2.1-1.el7.x86-64.rpm
08-14
Erlang:RabbitMQ 是用 Erlang 编写的,因此需要 Erlang 运行时。确保安装了兼容的 Erlang 版本; Erlang:RabbitMQ 是用 Erlang 编写的,因此需要 Erlang 运行时。确保安装了兼容的 Erlang 版本; Erlang:RabbitMQ 是用 Erlang 编写的,因此需要 Erlang 运行时。确保安装了兼容的 Erlang 版本; Erlang:RabbitMQ 是用 Erlang 编写的,因此需要 Erlang 运行时。确保安装了兼容的 Erlang 版本; Erlang:RabbitMQ 是用 Erlang 编写的,因此需要 Erlang 运行时。确保安装了兼容的 Erlang 版本; Erlang:RabbitMQ 是用 Erlang 编写的,因此需要 Erlang 运行时。确保安装了兼容的 Erlang 版本; Erlang:RabbitMQ 是用 Erlang 编写的,因此需要 Erlang 运行时。确保安装了兼容的 Erlang 版本;
基于Android个人信息管理系统APP设计与实现.docx
08-14
基于Android个人信息管理系统APP设计与实现.docx
MikuTools轻量在线工具系统源码/含几十款工具
08-14
MikuTools是一个使用Vue全家桶和Nuxt.js构建的工具类网站。它提供了许多有用的工具,例如文本加密、图片处理、常用数据转换等等 二改或者增功能的话,可以参考/pages/*.vue中的文件建页面,也可以使用CTRL+F进行相关模块的查找,在/tools/index.js中添加相关的工具信息。 在开发方面,只需要下载源码并运行yarn install和yarn dev命令即可开始开发。如果要生成静态站点,可以运行yarn generate命令 这个源码有点像《彩虹工具箱源码》
【独家首发】基于豪猪优化算法CPO-GMDH的风电数据回归预测研究Matlab实现.rar
最新发布
08-14
【独家首发】基于豪猪优化算法CPO-GMDH的风电数据回归预测研究Matlab实现.rar
仿CNZZ网站访客流量统计系统源码/获取网站访客系统源码/网页访客抓取采集源码
08-14
源码程序:asp+sql 仿cnzz多用户统计系统 3.0,功能强大,界面完美仿照cnzz统计!支持所有浏览器不乱码,程序是完整,没有删除任何东西,请大家放心使用,想建立自己的统计站点就这么简单! 安装的时候先还原数据库 sq_tongji_bkp_1.bak 这个来还原数据库,这是得到的原始数据库。 然后配置数据库连接文件 config\config.ini.asp、jmail邮件发送设置 require\fc.inc.asp 字段自己找 程序是完整版 没有删除任何东西! 请大家放心使用!想建立自己的统计站点就这么简单!
【方案】人才素质盘点方案(.pptx
08-14
【方案】人才素质盘点方案(.pptx
oom_reaper: reaped process
06-13
"oom_reaper: reaped process" 是 Linux 系统中的一种提示信息,通常会在系统出现 OOM(Out of Memory)事件后出现。它表示系统的 OOM killer 进程已经杀死了一个进程,并将其资源回收。 在 Linux 系统中,当系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值