周末愉快,复制粘贴链接看吧,肝系统中。。。
推荐一个神奇的系列,和朝鲜息息相关。。
https://www.csis.org/podcasts/impossible-state
威胁情报
一、
我刚看见,自己动
APT28 Lojax (aka Double-Agent) 变种分析https://blog.yoroi.company/research/hunting-for-sofacy-lojax-double-agent-analysis/
yara:
rule rpcnetp
{meta:
description = "Yara Rule for Lojack Double-Agent"
author = "Cybaze-Yoroi"
last_updated = "2018-11-13"
tlp = "white"
category = "informational"
strings:$a1 = {50 61 74 68 73 5C 69 65 78 70 6C 6F 72 65 2E 65 78 65}$a2 = {D1 E0 F5 8B 4D 0C 83 D1 00 8B EC FF 33 83 C3 04}$b1 = "rpcnetp exe"
$b2 = {00 48 1A B5 E5 9B A0 26 F2 C7 D0 D2 C3 DC C7 C1 9B D6 DA D8 B5 B5 B5 B5 B5 B5 B5 B5 B5 0A 02 07 10 06 06 00}
condition:
1 of ($b*) and $a1 and $a2}
二、
TA505 黑产组织,有proofpoint命名,之前有篇文章是说该组织从投放dridex到投放globeimposter勒索,和前天的组织类似。
(https://www.proofpoint.com/us/threat-insight/post/threat-actor-profile-ta505-dridex-globeimposter)
最新报告对该组织的tRat的新的模块化部分进行了分析。
知识星球中有该新模块化的解密代码工程,有兴趣可以下载看看。
相关链接:
https://www.proofpoint.com/us/threat-insight/post/trat-new-modular-rat-appears-multiple-email-campaigns
二、
VenusLocker Ransomware组织,针对韩国人投放GandCrab
恶意宏钓鱼。老生常谈GandCrab
相关链接:http://blog.alyac.co.kr/1983
三、
朝鲜ROKRAT远控最新动态
有趣。
http://v3lo.tistory.com/24
其他可见知识星球,周末愉快,晚安