无锡新闻网

usdt回收(www.caibao.it):魔罗桫组织新一轮对南亚军工企业的窃密攻击

来源:无锡百姓网 发布时间:2021-02-07 浏览次数:

USDT自动充值API接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

事宜简介

近期,深信服千里目高级威胁研究团队监测到“魔罗桫”组织针对南亚军工企业的攻击流动。该组织行使诱饵文档“China Cruise Missiles Capabilities-Implications for the Indian Army.docx”。经由深入追踪,文档内容摘抄自印度的orfonline站点,内里包含了英文的导弹手艺讲述,意在瞄准军工企业。受害者打开文档后,会触发office公式编辑器破绽,进而下载执行恶意软件Warzone RAT,实现历久控制主机和窃密敏感资料的目的。我们从手艺等多维度对比了该组织上一次行使热门话题的攻击流动,本次攻击依然沿用了军事话题诱饵文档 破绽行使 伪装微软域名 商业木马的攻击套路。

APT组织”魔罗桫”(又名为Confucius),是一个历久针对中国,巴基斯坦,尼泊尔等区域,主要瞄准政府机构,军工企业,核能行业等领域举行网络间谍流动的活跃组织。


样本简介

此类恶意文档主要通过钓鱼邮件举行流传,用户打开该恶意文档后,显示的是看似正常的相关讲述,背后会通过office编辑器破绽从黑客的服务端下载恶意文件并隐藏执行,最终受害用户计算机被黑客组织控制,资料被窃取。恶意word文件打开后现实内容如下。




涉及到一些公然的产物参数:


攻击溯源

从流传方式上此次攻击的载体为恶意文档,附带热门时势内容,对比前几回追踪到的攻击流动,存在一定的相似性。

最近的一次攻击事宜接纳的恶意文档内容来源于外洋Bulletin(免费新闻与双月刊站点)2020年11月9日公然公布的一篇文章,题目是“Here's what to expect from Biden on top nuclear weapons issues”。


从行使手法上则使用同样的远程模板与office编辑器破绽,请求服务端的地址msoffice.user-assist.site与前几回使用过的域名组成结构存在一定的相似性,以伪装微软或者office等毗邻域名绕过是非名单限制。

中心阶段释放的恶意dll文件整体架构与导出函数与之前捕捉的样本基本功效是一致的,最终释放的远控也是之前攻击流动使用过的Warzone(Ave Maria)RAT。依据本次攻击流动的TTPs以及落地的恶意文件特征与细节与IOC等相似性,我们可以判断这是”魔罗桫”(外洋平安厂商命名为Confucius)APT的最新攻击流动。

攻击总结

凭据以往几回攻击流动的方式与前言,如行使引起媒体高度关注的最新消息来作为诱饵主题内容,最终的C&C存活的时间不长,每次被捕捉的攻击流动存在细微差异,这也说明晰该组织正在生长与顺应,可以预见摩罗桫(Confucius)APT组织不仅是现在,未来依然会连续不断地针对特定的目的与机构提议网络攻击。

详细剖析

对诱饵文件“China Cruise Missiles Capabilities-Implications for the Indian Army.docx”的内容举行深入研究,发现该文档内容来源于印度的orfonline站点,公布于2020年12月4日,orfonline站点是允许差别看法与意见举行讨论的印度民众站点。





本次攻击流程图如下:




受害用户无意打开恶意文件后,会直接从服务端下载模板文件(现实是携带office公式编辑器破绽CVE-2017-11882的恶意RTF文档)。




该诱饵文件的最后一次修改时间为2020年12月10日,可以预测本次攻击流动发生在该时间之后的某个时段。




内嵌的远端模板地址,URL的目的是伪装成office更新,如下。




下载的rtf文档在破绽行使乐成后,恶意代码会释放加载内嵌的bing.dll文件。


,

Usdt第三方支付接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,





该dll的导出函数为mark,原始文件名为linknew.dll,本次攻击流动的dll文件已经不存在pdb路径,而之前捕捉的一次攻击流动攻击者接纳了该pdb路径:C:UsersadminDocumentsdlllinknewReleaselinknew.pdb,说明攻击者已经有意识地在举行痕迹地清算。






编译时间为2020年11月26日




挪用导出函数mark




后续该dll文件会通过URLDownloadToFile函数从http://msoffice.user-assist.site/update/content下载到内陆命名为update.exe,接着建立快捷方式设置到启动目录为update.lnk文件,后续重启后启动。在32位系统环境下,恶意文件会首先注入到explorer.exe历程,之后该恶意文件会通过com功效复制自身并改名为update.exe至C:ProgramDataSoftwareupdate.exe,并通过注册表HKCUSoftwareMicrosoftWindowsCurrentVersionRun为路径C:UsersxxxxAppDataRoamingsvchost.exe(svchost.exe是update.exe拷贝衍生)设置自启动,确立持久性。


行使pkgmgr.exe、dism.exe运行机制加com功效替换系统掉dismcore.dll文件提升自身程序权限后,恶意软件会使用powershell下令从Windows Defender中清扫整个C驱动器。执行的下令:powershell Add-MpPreference -ExclusionPath C:。然后释放programs.bat文件至目录C:UsersxxxxAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup(属于最先启动菜单)下,后续重启后再次执行,

programs.bat文件内容如下:
for /F "usebackq tokens=*" %%A in ("C:UsersxxxxAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupprograms.bat:start") do %%A

在隐藏性方面,programs.bat:start文件是母体为上述programs.bat接纳ADS数据流天生的文件,接着执行后会通过wmic下令建立Roaming:ApplicationData历程,而Roaming:ApplicationData同样是自身母体程序通过ADS数据流发生的文件,现实内容如下:


wmic process call create '"C:UsersxxxxAppDataRoaming:ApplicationData"'


最终发现update.exe会在内存解密释放出Ave Maria远控木马,也被称为Warzone RAT。经由剖析为Warzone160版本的RAT,Warzone RAT是一款以恶意软件即服务(MaaS)作为商业模式的远控工具,有多次已公然的举行攻击流动的纪录。黑客使用它来远程控制受害者的PC,并从受熏染的计算机中窃取信息,经由剖析C&C地址为syncronize.3utilities.com(45.147.231.232)。






威胁情报


MD5

9f54962d644966cfad560cb606aeade2 (China Cruise Missiles Capabilities-Implications for the Indian Army.docx)

912141bb5b4020c2cc75a77c37928a3b  (word)

e13134c8411557ce9c9e58d57b855a62  (content)

915F528202B036DC5D660F44C187F121  (bing.dll)

6b906764a35508a7fd266cdd512e46b1  (dismcore.dll)

7707871515E16C8E8461CED7AF1CACDD  (Warzone RAT)

URL

http[:]//msoffice.user-assist.site/refresh/word

http[:]//msoffice.user-assist.site/update/content

DOMAIN

msoffice[.]user-assist.site

syncronize[.]3utilities.com


IP

45[.]84.204.148

45[.]147.231.232

发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片