疑似TA555针对乌克兰国家边防卫队的最新攻击活动分析

最新推荐文章于 2024-09-16 07:22:11 发布
最新推荐文章于 2024-09-16 07:22:11 发布
阅读量429 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/systemino/article/details/98072911
版权

 

概述

近日,奇安信威胁情报中心红雨滴团队在日常的样本监测过程中,捕获一例针对乌克兰国家边防卫队伊斯梅尔支队的攻击样本,该样本伪装成乌克兰国家财政局进行鱼叉邮件投递,诱导受害者启用带有恶意宏代码的附件文档。一旦恶意宏代码得以执行,便会在受害者机器上运行PoshAdvisor恶意软件,从而控制受害者计算机。

经溯源关联,该攻击文档疑似来自TA555组织[1],TA555是国外安全组织Proofpoint追踪命名的黑客组织,在以往的攻击活动中,该组织的目标通常为酒店,餐厅,电信行业,本次攻击活动是该组织第一次针对政府机构的活动。PHP大马

 

样本分析

诱饵文档

文件名Звернення керівнику підприємства.eml
MD54423c37da26868ec578baa5514b8308a

攻击者伪装为乌克兰财政部门以致领导人为主题进行鱼叉邮件投递

诱导受害者打开带有恶意宏代码的附件постанова_29_07_2019(2).doc(2019/7/29 决议)

恶意代码

一旦受害者启用宏,恶意宏代码便会执行powershell从远程https://23.227.194.58/(7位随机字符).png获取恶意代码执行

在分析该样本时,服务器已失效,无法获取后续,但奇安信威胁情报中心高对抗沙箱在捕获该样本时,已成功获取后续。

从远程服务器下载powershell执行,该段powershell继续从远程服务器https://23.227.194.58/(9位随机字符).png获取后续执行

红雨滴团队高对抗沙箱获取后续如下:

PoshAdvisor

该段powershell首先加载c#dll到内存中,并调用其B6ILdR()函数

B6ILdR()获取系统版本号等信息

之后执行一段base64解码的powershell

此段powershell主要功能为获取系统信息上传,通过cmd命令获取系统信息

之后调用c#中的fqlw函数生成URL路径,该函数主要将B6ILdR()函数获取系统信新格式化后的字符经异或等处理后组成url路径,并在post方法后加上.asp后缀,其他方法加上.jpg后缀。天天好彩

将通过cmd命令获取的系统信息上传到23.227.194.58/(urlpath).asp

接着从注册表中获取outlook邮箱配置信息上传

截取当前屏幕上传

当此段powershell执行结束后,进入接受指令流程,从23.227.194.58/(urlpath).jpg获取指令执行,当获取的数据长度大于等于48时,进入远控功能流程

获取数据的第一位为指令位,通过判断第一位的数据从而执行不同功能

远控指令功能如下表

指令功能
0调用Ka2l7Xn3O函数执行shellcode
1通过iex执行powershell指令并将执行结果上传
2下载dll保存到%temp%目录下并通过ChlVniP4q6函数调用执行
3下载exe报道%temp%目录下并执行
99退出
其他根据偏移4的id下载执行shellcode

 

溯源关联

经关联分析,红雨滴团队安全研究员发现本次攻击活动实现的后门与2018年proofpoint披露的TA555组织的PoshAdvisor后门基本一致,只是在功能上更加完善丰富,因此我们认定本次攻击活动幕后团伙是TA555的可能性极大。

诱饵文档对比

本次攻击活动的诱饵文档与之前TA505的文档基本一致,如下图

后门对比

本次攻击活动获取系统信息powershell代码与TA555基本一致

在功能代码上,本次攻击活动的后门功能较之TA555更加完善丰富

 

总结

从本次捕获TA555新样本来看,该团伙已开始转变攻击目标,从酒店餐厅等行业转变到政府机构,政治目的开始越发浓厚,其攻击武器功能也越发完善。奇安信威胁情报中心红雨滴团队将持续追踪该团伙的最新动态。

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。

 

IOC

样本MD5

4423c37da26868ec578baa5514b8308a

c5661d589ee98e8b370acaceb7f5445e

1d045444d74bc63c8b30d9089c8da24f

03580beba48ab744b1468459603e715d

87c6e0daabe6f71a86f3a9c24a090944

30bbf8a8d2c0ad4e2ffbfdc6c5ed476b

37457ea1d0f093145f8d645779c363ac

1e2b0f55562277fc4f3cfec340397f10

C&C地址

23.227.194.58

 

参考

https://www.proofpoint.com/us/threat-insight/post/new-modular-downloaders-fingerprint-systems-part-2-advisorsbot

systemino
关注
僵尸网络 DDoS 攻击活动分析
m0_74079109的博客
10-14 787
经过跟踪 分析,今年一季度以来 Mozi 的日均可探索节点已经超过了 10000 个,占据了整个 DHT网络规模的 1% 以上,这表明 Mozi 已发展成为中等规模的僵尸网络,可以对世界范围内的目标尤其是国内的网络节点 发动有威胁的攻击。此外,由于 Mozi 的特殊网络模式,其节点分布离散度极大,与传统僵尸网络集中于网络发达地区的普 遍规律截然不同。7 月,在网络犯罪活动再次抬头的情况下,公安部持续进行“净网行动 ”,再次打击了犯罪活动,DDoS 攻击事件量逐步下降,再次遏制了网络犯罪 活动的抬头倾向。
俄罗斯针对乌克兰的网络攻击报告(2022-2024H1)四份报告中英文全文.zip
09-27
俄罗斯针对乌克兰的网络攻击报告(2022-2024H1)四份报告中英文全文.zip
Fin7攻击经验总结,Group123样本分析图,TA555黑客组织
blackorbird的博客
08-27 779
点个关注,重新出发一、该文章参考了,8月1日美国司法部对FIN7的三名成员的诉讼书。(https://www.justice.gov/opa/pr/three-membe...
[译] APT分析报告:01.Linux系统下针对性的APT攻击概述
杨秀璋的专栏
09-14 1万+
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助。第一篇文章主要分享Linux系统下针对性的APT攻击及技术要点,并简单总结溯源部分APT组织的方法。
Radware 报告 Web DDoS 攻击活动
网络研究观
09-16 1071
新一代 HTTPS 洪水攻击的频率和强度急剧增加,攻击者引入的复杂程度也在迅速提高。
乌克兰机场到武汉地震中心:网络攻击事件分析
l1x1n0的博客
07-31 1113
近年来,网络安全领域经历了一系列重大事件,这些事件不仅暴露了现有系统的脆弱性,也推动了安全技术和策略的发展。以下是我对一些关键事件的概述,以及它们所揭示的漏洞和原理。2016年1月,乌克兰首都基辅的鲍里斯波尔国际机场遭遇了一起网络攻击,其电脑网络被确认感染了恶意软件。这一事件揭示了关键基础设施面临的网络安全风险,以及恶意软件攻击的潜在威胁。攻击分析攻击者利用了网络中的漏洞,通过植入恶意软件来控制机场的关键系统。虽然初步报告显示没有造成明显损害,但恶意软件的潜在能力足以对机场运营造成重大干扰。该恶意软件与
[译] APT分析报告:05.Turla新型水坑攻击后门(NetFlash和PyFlash)
杨秀璋的专栏
10-24 7128
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助。前文分享了一种新型无文件APT攻击Kraken,它会利用Windows错误报告服务逃避检测。这篇文章将介绍Turla新型水坑攻击后门(NetFlash和PyFlash),研究人员发现Turla对Armenian的知名网站发起水坑攻击,通过伪造Adobe Flash更新,欺骗受害者下载两个新型恶意软件NetFlash和PyFlash,从而实现恶意攻击,整个攻击的TTP基本没有变
乌克兰电网攻击事件回顾
weixin_34087503的博客
11-19 2310
1 事件分析 2015年12月23日下午,也就是圣诞节的前两天,乌克兰首都基辅部分地区和乌克兰西部的140万名居民突然发现家中停电。这次停电不是因为电力短缺,而是遭到了黑客攻击。 黑客利用欺骗手段让电力公司员工下载了一款恶意软件“BlackEnergy”(黑暗力量)。该恶意软件最早可追溯到2007年,由俄罗斯地下黑客组织开发并广泛使用,包括用来“刺探”全球各国的电力公司。 当天,黑客攻...
乌克兰电网到德国钢厂:攻击工控系统五大真实案例
shoushou1hao的博客
07-04 1287
70%的IT和运营技术专业人员担心网络攻击会造成计算机和工业系统的物理损坏,这些损坏不仅需要耗费大量财力进行灾后恢复,严重的甚至可能危及人命。 今年3月,美国各机构警告称,俄罗斯政府部门正在针对美国的关键基础设施进行广泛的攻击活动,旨在确保在最敏感的网络中站稳脚跟。 攻击者利用鱼叉式网络钓鱼邮件和水坑攻击来危害受害者的计算机系统。根据美国国土安全部和联邦调查局发布的警告称,一旦这些恶意行为者在受害...
网络攻击常见技术方法及案例分析
热门推荐
我的个人博客
08-19 1万+
网络攻击概述、网络攻击常见技术方法、黑客常用工具、网络攻击案例分析
乌克兰电力系统被攻击事件分析与启示.pdf
08-29
"乌克兰电力系统被攻击事件分析与启示" 本文档对乌克兰电力系统被攻击事件进行了深入分析和启示,事件起因、过程、影响和解决方案等方面进行了详细介绍。 知识点1:乌克兰电力系统被攻击事件概况 乌克兰电力系统被...
乌克兰电力系统遭受BlackEnergy攻击事件分析
在电力系统标签相关的部分内容中,提到了一起针对乌克兰电力系统的网络攻击事件。这个事件涉及BlackEnergy等恶意软件,攻击者通过建立Botnet网络进行前期侦查,然后利用电子邮件发送恶意代码作为攻击入口,远程控制...
vmware workstatiions pro 17.6.1个人使用免费,不用证书直接安装使用
11-18
虚拟机vmware workstatiions pro 17.6.1个人使用免费,不用证书直接安装使用
scipy-1.2.0-cp35-cp35m-linux_armv7l.whl
11-18
scipy-1.2.0-cp35-cp35m-linux_armv7l.whl
基于springboot爬虫高考志愿智能推荐系统源码数据库文档.zip
最新发布
11-18
基于springboot爬虫高考志愿智能推荐系统源码数据库文档.zip
bimdata_api_client-4.3.0-py3-none-any.whl
11-18
bimdata_api_client-4.3.0-py3-none-any.whl
Pillow-7.0.0-cp37-cp37m-linux_armv7l.whl
11-18
Pillow-7.0.0-cp37-cp37m-linux_armv7l.whl
onnxruntime-1.16.2-cp38-cp38-win_amd64.whl
11-18
onnxruntime-1.16.2-cp38-cp38-win_amd64.whl
opencv_python-4.4.0.46-cp39-cp39-linux_armv7l.whl
11-18
opencv_python-4.4.0.46-cp39-cp39-linux_armv7l.whl
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值