新披露的APT组织white company,针对巴基斯坦进行Shaheen攻击活动&Lazarus组织最新活动&各类安全资源...

大佬觉得有用就转发一下呗，点个关注，给点阳光

威胁情报:

一、

新披露APT组织white company,针对巴基斯坦空军发起Shaheen攻击活动

该组织由cylance公司最新披露，详细报告140页，我还没看完，挑重要的记录一下。（翻了一下，全是代码截图，如果单算字没多少）

该组织名为White Company，报告详细阐述了该组织为期一年，针对巴基斯坦政府和军队的间谍活动，特别是巴基斯坦空军。活动命名为Shaheen。

White Company拥有相当多的资源，背后有国家赞助，能力如下：

1、其具有0day利用开发人员，并具有进行0day攻击的能力

2、具有复杂的自动化漏洞构建系统

3、能够修改，优化和提升攻击，以满足特定任务的需求

4、高级侦察目标的能力

该组织的样本至少免杀八种不同的防病毒产品 :Sophos，ESET，卡巴斯基，BitDefender，Avira，Avast！，AVG和Quick Heal。并且在不同的时间针对安装了这些杀软的设备投放响应的免杀样本，以便分散，拖延和转移目标的资源。

除了免杀之外，还有其他攻击方法

1、在漏洞利用中：

a.其使用了四种不同的方法来检查恶意软件是否在分析师或调查员的系统上

b.其能够删除Word并发布诱饵文件以减少被察觉的风险

c.可以在目标系统完全删除自身

2、在恶意软件中：

a.使用了五种不同的混淆（打包）技术，将最终payload置于一系列嵌套层中

b.多种检查恶意软件是否在分析师或调查员系统上的方法

c.具有匿名，开源payload和混淆技术

d.使用被攻陷或无法被追溯来源的网络基础设施进行命令和控制

该组织所使用的公开的技术和工具与知识星球里发的pdf中提及的工具具有相似性，可以肯定是为了不被追溯，具体请移步知识星球。

white company的攻击有很多是借鉴安全社区中的想法和猜测，并且会去借鉴别的安全研究人员的想法去进行攻击，以便更难进行追溯，可以从报告感受到该组织具有特别强的能力

经过确认，巴基斯坦空军是Shaheen行动的具体目标。历史上，巴基斯坦军方已经证明了其对国内外政策的巨大影响力，因此往往使这个国家自己当选的民事领导层黯然失色。针对巴基斯坦军队的成功间谍行动可以产生重要的战术和战略洞察力，因此一些外国势力容易想去进行攻击，包括那些利益并不总是与西方国家一致的外国势力。（这句话在暗示哪个国家？）

巴基斯坦空军不仅是该国国家安全机构的一个组成部分，包括其核武器计划。而且它也是该国国家网络安全中心新近宣布的所在地。

所以这份报告上升到了国家层面，可以仔细研读一下，明天如果看到报告中有好东西将会在公众号提一下

相关链接:

简介在此，pdf版本我放在原文链接处，点击即可在手机查看，最好是进知识星球直接下载观看，凡是PDF的版本报告均在知识星球展示，方便你我他。

https://threatvector.cylance.com/en_us/home/the-white-company-inside-the-operation-shaheen-espionage-campaign.html

展示大报告的目录大概可以知道都说了用了哪些漏洞利用和远控木马

再翻了一下，看到好多个熟悉的恶意文档。。。><  错过了错过了

再看了一下，前面的事件分析好像很精彩，明天看明天看

二、

2018年11月Lazarus Group使用韩国和美国服务器进行APT攻击

仍然是鱼叉攻击，用的恶意宏，本次攻击是lazarus组织针对海外进行的一次攻击，服务器使用的是韩国和美国的作为跳板。

本次的特色在于，这个codepage_doc的值为949

与此相关的链接在此： https://en.wikipedia.org/wiki/Unified_Hangul_Code

这里主要是由于投放的诱饵文档全是英文，但是在这个字段还是暴露了文档是在韩语环境中生成的。

打的一手好码

攻击者使用两个韩语（KR）和两个美国（US）IP与四个命令控制（C2）服务器通信，这里点题了，不过啥IP没说

表示本次攻击和2月份lazarus针对海外（老美？）进行攻击的解密程序代码，远控用于收集信息。

没给ioc，所示内部分享，看图下规则吧

相关链接：

http://blog.alyac.co.kr/1978

三、疑似同源样本分享

几个相似架构的恶意宏样本

DAE451938FBDFE527E33BF28DCCB970C - 1AA7277DAD2FC8268C79E8295514AA06 - 169C4843FE4D114E8D10D84DA7CF7D5F - 3229A6CEA658B1B3CA5CA9AD7B40D8D4

四、

在 Office 文档的嵌入式视频中插入恶意 URL 的感染流程分析：

https://blog.trendmicro.com/trendlabs-security-intelligence/hide-and-script-inserted-malicious-urls-within-office-documents-embedded-videos/

插入的代码特征还是很明显的。

安全资源：

今天的资源都是干货哦

一、

新的 PHP Exploit 技术分享PPT：

https://files.ripstech.com/slides/PHP.RUHR_2018_New_PHP_Exploitation_Techniques.pdf

二、

使用浏览器 URL 协议进行横向渗透：

https://medium.com/@mattharr0ey/lateral-movement-using-url-protocol-e6f7d2d6cf2e

三、

还是我推荐看的bgp劫持，多看看学习学习

https://blogs.akamai.com/2018/11/bgp-route-hijacking.html

知识星球有更多信息哦，进来一定人数涨几块，早进早便宜