杀软0检出!Confucius APT组织近期新活动深入分析

最新推荐文章于 2024-05-17 10:18:26 发布
最新推荐文章于 2024-05-17 10:18:26 发布
阅读量141 收藏
点赞数
文章标签: 服务器 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71745754/article/details/128716134
版权

事件背景

近日,安恒信息猎影实验室在威胁狩猎中捕获一例以请/愿书为主题的钓鱼邮件附件,该文件运行后将下载多阶段DLL文件,最终进行文件窃取。此次活动针对南亚地区宗教信仰群体,符合Confucius的历史攻击目标,经分析,最后阶段的File
stealer也与Confucius攻击样本“血缘”更近,因此活动背后的攻击者被我们判定出自Confucius之手。

攻击流程

此次捕获的文件窃取程序加载流程如下图:

攻击分析

样本运行后展示的诱饵内容如下:

宏代码如下,判断本机是否安装McAfee,若未安装则在%Temp%目录下释放sdjkfhkjsdh.txt文件:

并通过Powershell指令加载执行PoryaenFuaQzye.Class1.fgjhgjsdgfjssgdfjg()

函数被调用后再次通过Powershell指令启动自身PoryaenFuaQzye.Class1.hgfhgfhfhgfhfhfhgf()

PoryaenFuaQzye.dll执行后将从hxxps://taxofill[.]info/LraGrcnpwbt.txt下载后续(SowpnTdb.dll)到本地:

SowpnTdb.dll执行后检查本地是否安装Avast反病毒软件,若安装有Avast,则设置Adobbe计划任务下载后续;若未安装Avast,则直接从hxxps://taxofill[.]info/QrosWbnmdsfui.txt下载后续(RioucXkjdiEjkhd.dll)到本地C:\Users\Users\AppData\LocalMhRoqpalrntto.txt,接着设置计划任务KrGtPwAkf加载执行RioucXkjdiEjkhd.Class1.Nskjdhfkjsdhf()

RioucXkjdiEjkhd.dll文件执行后尝试从hxxps://taxofill[.]info/OyfcbJhtrps.txt获取后续,若该链接未响应则获取备用链接后续hxxps://jizyajan.shop/LwQcbhNogdrn.txt

最后阶段的恶意负载(Rwlksdnasjd.dll)的功能包括:上传主机信息及用户名(machineName + “__” + userName)至
hxxp://plankopin.world/JucwSkgmzoea1.php

获取C:\Users\Users路径下文档(Documents)、下载(Downloads)、桌面(Desktop)、图片(Pictures)目录以及其他盘目录下的txt、pdf、png、jpg、doc、xls、xlm、odp、ods、odt、rtf、ppt、xlsx、xlsm、docx、pptx、jpeg后缀文件,并上传至指定URL:hxxp://plankopin[.]world/HprodXprnvlm1.php、hxxp://plankopin[.]world/VueWsxpogcjwq1.php

本文中涉及到的URL链接及其功能如下,三个域名均为2022.06.15注册:

hxxps://taxofill[.]info/LraGrcnpwbt.txt

|

下载一阶段负载

—|—

hxxps://taxofill[.]info/QrosWbnmdsfui.txt

|

下载二阶段负载

hxxps://taxofill[.]info/OyfcbJhtrps.txt

|

下载三阶段负载

hxxps://jizyajan[.]shop/LwQcbhNogdrn.txt

|

三阶段负载备用下载链接

hxxp://plankopin[.]world/JucwSkgmzoea1.php

|

根据参数上传计算机名、用户名或文件路径

hxxp://plankopin[.]world/HprodXprnvlm1.php

|

上传文件数据

hxxp://plankopin[.]world/VueWsxpogcjwq1.php

|

上传文件hash

此外,报告中涉及到的DLL文件除SowpnTdb.dll均被抹去了时间戳信息,该DLL文件的编译时间为2022.06.17。

拓展

此次攻击活动中的样本较21年9月在代码逻辑上并无较大的改动,依然是读取文档属性中的Comment数据写入到本地TXT文件,随后利用Powershell指令启动。细节方面增加了对变量名以及Powershell指令的混淆,使以往针对其宏代码的策略近乎失效,在某种程度上躲避了研究人员的追踪。

其他方面最显著的改进是使用较强的密码将DOC文档“保护”了起来,使恶意文档在VT上的查杀率由30/64骤减为0/56,大大降低了目标打开文件时的防备心理。

对此,安恒建议广大用户对未知来源带有密码的文档保有同样的警惕。

网安&黑客学习资料包

基于最新的kali讲解,循序渐进地对黑客攻防剖析。适合不同层次的粉丝。我希望能为大家提供切实的帮助,讲解通俗易懂,风趣幽默,风格清新活泼,学起来轻松自如,酣畅淋漓!

在这里插入图片描述

需要的话可以扫码领取CSDN大礼包:《黑客&网络安全入门&进阶学习资源包免费分享

移动端逆向学习

在这里插入图片描述

需要的话可以点击**CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享**

学习资料工具包

压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。

在这里插入图片描述

需要的话可以点击**CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享**

面试题资料

独家渠道收集京东、360、天融信等公司测试题!进大厂指日可待!
在这里插入图片描述

需要的话可以扫码领取CSDN大礼包:《黑客&网络安全入门&进阶学习资源包免费分享

前字节AI绘画师
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
APT黑客组织使用Autodesk 3ds Max件的恶意插件来入侵公司系统
systemino的博客
09-02 364
近期APT黑客组织利用传统3D计算机图形Autodesk件中的一个漏洞,开始对国际建筑和视频创作公司的系统进行的网络间谍攻击。 研究人员已经测到了这个漏洞,并确认了是一个未知的黑客组织将恶意件隐藏在3Ds Max插件中,攻击了来自世界各地的企业。 该组织通过使用一个用于Autodesk 3ds Max件的恶意插件进行间谍活动。独步而且经确定,APT雇佣组织还向价最高者提供帮助,扩大针对目标受害者的复杂攻击和网络间谍工具。 目标 根据该报告,威胁参与者始终以与房地产开发商合作的公司...
APT(高级持久性威胁)组织
西京刀客
01-21 1102
APT(高级持久性威胁)是一种指定的网络攻击,通常由高度组织化、精心策划和长期实施的黑客或网络犯罪团伙发起。这些攻击的目的是获取敏感信息、窃取知识产权、破坏基础设施或其他形式的经济或政治间谍行为。APT攻击者通常会花费大量时间和资源来侵入目标系统,并长期隐藏在其中,以保证他们的攻击不被发现。
2024年Q1 APT趋势报告
最新发布
FreeBuf_的博客
05-17 1127
随着时间的推移,虽然一些威胁参与者的TTP仍然保持一致,例如严重依赖社会工程作为在目标组织中获得立足点或破坏个人设备的手段,但其他人已经更了他们的工具集并扩大了活动范围。本季度的主要亮点包括Kimsuky在韩国的供应链攻击中使用了基于Golang的后门Durian,以及针对中东的活动,包括像Gelsemium这样的APT组织,以及黑客主义攻击。针对意大利个人的Spyrtacus恶意件表明,威胁行为者继续针对多个平台开发其恶意件。APT活动在地理上仍然非常分散。
APT组织Andariel 发展史介绍(多图预警)
blackorbird的博客
08-01 789
昨天想重点分享一个ppt,试试效果,来自韩国AhnLab(后来没发成功)下图为所属朝鲜的所有活跃的组织,里面全是比较熟悉的名字下面开始重点对Andariel组织进行介绍,...
基于流量分析的安全测解决方案
securitypaper的博客
10-02 962
近年来,具备国家和组织背景的 APT攻击日益增多,例如:2010 年攻击伊朗核电站的 “震网病毒”、针对 Google 邮件的“极光攻击”、2013 年韩国金融和电视媒体网络 被大面积入侵而瘫痪等等,2014 年 APT攻击的主要目标行业是金融和政府,分别高达 84% 和 77%。2020 年初,奇安信威胁情报中心发布了《中国高级持续性威胁(APT)2019 年报告》。
APT组织MuddyWater使用工具起底
systemino的博客
05-05 1356
简介 MuddyWater是一个APT组织,主要以中东国家的政府机构和电信部门为攻击目标,所染指的国家包括伊拉克、沙特阿拉伯、巴林、约旦、土耳其和黎巴嫩,也包含一些中东附近地区的国家,如阿塞拜疆、巴基斯坦和阿富汗等。 MuddyWater于2017年首次亮相,其间攻陷了众多组织机构,且至今一直处于活跃状态。该威胁团伙于第一阶段所使用的感染手法和诱饵文件已被众多安全机构分析过,我们在之前的文章—...
Confucius Framework-开源
06-08
本文将深入探讨孔子框架的核心特性、设计理念以及其在实际开发中的应用。 首先,孔子框架的核心特性之一是其对SQL、业务逻辑和工作流逻辑的外部化处理。这种设计思路极大地降低了代码的耦合度,使得开发者能够通过...
Confucius:创业项目IT教育Kong夫子
04-22
通过"Confucius:创业项目IT教育Kong夫子",学员不仅可以学习到扎实的Java编程技术,还可能接触到项目管理、团队协作等实际开发中的技能,以提升其在IT行业的竞争力。这样的教育方式既注重理论知识的传授,也强调...
小学英语英语故事名人故事Confucius
09-09
小学英语英语故事名人故事Confucius
Confucius and Socrates实用PPT学习教案.pptx
10-06
Confucius and Socrates实用PPT学习教案.pptx
Confucius Confucianism孔子及儒家学说英语简介实用PPT课件.pptx
10-06
Confucius Confucianism孔子及儒家学说英语简介实用PPT课件.pptx
基于公开情报的APT组织跟踪
04-26
他山之石可以攻玉-基于公开情报的APT组织跟踪,内容丰富,值得学习。
Confucius组织情况更工具和技术,与patchwork更进一步的关联
weixin_33725515的博客
05-28 253
早在二月份,我们就注意到了Patchwork和Confucius组织之间的相似之处,并发现除了恶意代码中的相似之外,这两个组织都主要针对南亚的目标。在追踪Confucius的这几个月里,我们发现其仍然瞄准位于巴基斯坦的目标。 在之前的行动中,我们发现Confucius使用假浪漫网站诱骗受害者安装恶意Android应用程序。这一次,攻击者有了一种的工作方...
[译] APT分析报告:03.OpBlueRaven揭露APT组织Fin7/Carbanak(上)Tirion恶意
杨秀璋的专栏
10-04 6935
这是作者开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助。前文分享了钓鱼邮件网址混淆URL逃避测,这篇文章将介绍APT组织Fin7 / Carbanak的Tirion恶意件,包括OpBlueRaven行动。
【网络间谍篇】这些知名APT组织,背后都有国家级机构支持
goalcent_tech的博客
01-12 1261
除此之外,很多国家级APT组织也成为了企业的攻击威胁主要来源之一。该组织的成员非常熟悉我国,对我国的时事、闻热点、政府结构等都非常熟悉,如国家刚发布个税政策时,该组织就立即使用个税改革方案作为攻击诱饵主体,此外该攻击组织常用的钓鱼主题还包括绩效、薪酬、工作报告、总结报告等,大部分邮件主体都非常本土化。通过该组织进行的多次攻击活动进行分析,该攻击组织的攻击周期较长、诱饵极具迷惑性和诱惑性、擅长使用多种加密算法,同时每次攻击所使用的工具的源代码都经过一定的修改,说明该组织还具有一定的编程能力。
APT 攻击详解
键盘的起始页
04-15 2577
所谓APT ,全称是“高级持续性威胁”(Advanced Persistent Threat)。 高级,既指目标高端,通常是政府要员、公司高管之类;也指水平高超。持续性,短则十天数月,长则十年八载甚至不惜一切代价也要拿下。 譬如 “永恒之蓝” 漏洞的始作俑者“方程式组织”,以及被怀疑干涉.
<网络安全>《71 微课堂<常见的国家级APT组织介绍>》
Else 的博客
04-05 1054
国家级APT(Advanced Persistent Threat,高级持续性威胁)组织是有国家背景支持的顶尖黑客团伙,专注于针对特定目标进行长期的持续性网络攻击。
魔罗桫(Confucius)样本分析
yellow的博客
02-08 268
消息来源时间:2021年02月07日。
英文写两分钟的关于孔子的稿子
04-04
Good afternoon, ladies and gentlemen. Today, I would like to talk to you about one of the most influential figures in Chinese history - Confucius. Confucius, also known as Kong Qiu, was born in 551 BCE in the state of Lu, which is now part of modern-day Shandong Province in China. He was a philosopher and educator who devoted his life to teaching and spreading his beliefs about morality, ethics, and social order. Confucius's teachings focused on the importance of personal and social responsibility, and he emphasized the value of education and self-improvement. He believed that everyone had a duty to act with compassion, empathy, and respect for others, regardless of their social status or wealth. One of Confucius's most famous sayings is, "Do not do unto others what you would not have them do unto you." This idea, known as the "Golden Rule," is a cornerstone of many religions and ethical systems around the world. Confucius's teachings had a profound impact on Chinese culture and society, and his ideas continue to be studied and followed today. His philosophy of Confucianism has shaped the way people think about education, government, and social order in China and beyond. In conclusion, Confucius was a visionary and inspiring figure who left a lasting legacy on Chinese history and culture. His teachings about morality, ethics, and social responsibility continue to resonate with people today, and his impact on the world will be felt for generations to come. Thank you for listening.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值