感谢各位大佬的转发点赞和关注,这文也可以多转转,爱你们!
为了提升企业的安全意识,招聘永远都是一个很好的攻击入口。
胶带背景
在参议员Felipe Harboe发布一条推文说明Redbanc在12月底遭受了计算机攻击之后,该公司证实存在这种攻击。
此外,该公司称 “对我们的运营没有影响,保持我们的ATM服务和网络运行正常”。尽管紧急情况出现,他们告诉银行和金融机构(SBIF),银行和金融机构(ABIF)公会监管局,并指出,他们不停地在任何时候告诉不同用户其在业内人士处获悉”,完全透明的合作精神“。是不是觉得不就是一个公司被黑了,那么继续胶带背景。
Redbanc是连接智利所有银行ATM基础设施的公司
来了来了,关键词是什么?ATM!ATM!ATM!
目标是哪?智利!
老司机教你怎么溯源。
点击下面我这篇老文
再看看今年Lazarus曾经攻击智利银行
所以,攻击ATM和南美洲的APT组织,就是Lazarus组织!
emmmm....
你是不是说疑似,不够实锤。
那来看看攻击过程。
攻击过程
这一切都始于在社交网络Linkedin上发布的工作机会,其中提到了找计算机专业人士来做程序员。
和前天的海莲花不同,这里是主动发布招聘钓鱼。
这项具有吸引力的工作,并没有引起任何怀疑它是网络犯罪分子的“诱饵”,以便吸引那些不知不觉地帮助他们向自己公司进行攻击的人。
在Redbanc专业人员点击申请职位后,他们联系了他,甚至通过Skype和西班牙语进行了交谈,目的是获得申请人的信任,很正经的进行了招聘。
获得信任后,
他们要求申请人在他们的计算机上安装ApplicationPDF.exe程序,
其借口是以pdf格式在线生成他们的申请表。
该程序没有引起任何杀软报警,因此它在Redbanc网络内的计算机上安装并运行了起来。
ApplicationPDF.exe
Hash:
b484b0dff093f358897486b58266d069
该样本的dropper可以关联到Lazarus的PowerRatankba。dropper是一个.NET程序,其会连接C2服务器并下载PowerRatankba PowerShell 侦察工具。
PDB:
F:\05.GenereatePDF\CardOffer\salary\salary\obj\Release\ApplicationPDF.pdb
dropper在下载powershell脚本时候会显示虚假的工作申请表。
hreadProc解码Base64编码的值并执行PowerShell脚本
根据Proofpoint的研究人员的说法,PowerRatankba是Lazarus利用的一种新型侦察和下载植入工具,用于指纹识别并获取有关被入侵机器的信息。
(https://www.proofpoint.com/us/threat-insight/post/north-korea-bitten-bitcoin-bug-financially-motivated-campaigns-reveal-new)
URI结构和恶意软件类似于Proofpoint所描述的“PowerRatankba.B”,因为它们具有相同的DES加密算法以及其他代码模板相似性。此PowerRatankba变体的一个区别是它在HTTPS上与服务器通信。值得注意的是,恶意软件模板包含注释掉的基本服务器
https://bodyshoppechiropractic.com
powershell后门命令
恶意软件在执行期间会输出以下消息:
值得一提的是,在趋势的报告里面还有RATANKBA的远控控制台。
远控指令有所不同
好吧,我改成疑似行了吧,为什么我怂了,参考昨天这篇开头。
IOC:
Hash
0f56ebca33efe0a2755d3b380167e1f5eab4e6180518c03b28d5cffd5b675d26
20d94f7d8ee2c4367443a930370d5685789762b1d11794810dc0ac6c626ad78e
a1f06d69bd6379e310b10a364d689f21499953fa1118ec699a25072779de5d9b
db8163d054a35522d0dec35743cfd2c9872e0eb446467b573a79f84d61761471
f12db45c32bda3108adb8ae7363c342fdd5f10342945b115d830701f95c54fa9
URL
https://bodyshoppechiropractic.com
https://ecombox.store
备用链接
https://www.seguridadyfirewall.cl/2019/01/intento-de-ataque-redbanc-en-chile.html
报告参考链接
https://www.flashpoint-intel.com/blog/disclosure-chilean-redbanc-intrusion-lazarus-ties/
https://blog.trendmicro.co.jp/archives/16923
需要yara规则的自取
import "pe"
rule apt_possible_lazarus_powerratankba_dropper {
meta:
description = "Detects possible Lazarus PowerRatankba dropper"
author = "@VK_Intel"
type = "experimental"
date = "2019-01-15"
hash1 = "f12db45c32bda3108adb8ae7363c342fdd5f10342945b115d830701f95c54fa9"
strings:
$f0 = "ThreadProc" fullword wide ascii
$f1 = "SendUrl" fullword wide ascii
$ps1 = "ps1" fullword wide ascii
$b64 = "FromBase64String" fullword wide ascii
$pdb = "F:\\05.GenereatePDF\\CardOffer\\salary\\salary\\obj\\Release\\ApplicationPDF.pdb" fullword ascii
condition:
( uint16(0) == 0x5a4d and
filesize < 1000KB and
pe.imphash() == "f34d5f2d4577ed6d9ceec516c1f5a744" and
( $f0 and $f1 and $ps1 and #b64 > 2 )
) or ( all of them )
}
扫一扫
441
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
