游客您好
第三方账号登陆
  • 点击联系客服

    在线时间:9:00-16:30

    客服微信

    318989567

    电子邮件

    admin@chnbeer.com
  • 汽泡菌APP

    发现更多好精酿

  • 扫描二维码

    关注汽泡菌APP公众号

推荐阅读
中集食品装备 LV.1
未知星球 | 未知职业
  • 关注0
  • 粉丝0
  • 帖子33
精选帖子
开启左侧

疑似中国台湾方向相关组织近期攻击活动分析

[复制链接]
汽泡菌APP下载

马上注册,进入精酿啤酒的世界。APP下载请搜索:汽泡菌

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

文章转载自安恒威胁情报中心


    概述   

 

近日,国内有关安全情报中心监测到一些伪装文档的攻击样本,发现的样本伪装内容多为“检察院裁决书”、“台资交账”等,以开源AsyncRAT远控为心远控程序,通过分析样本后发现,回连域名解析IP为中国台湾地区。


 

    样本分析   

 

在本次捕获的样本中,可以发现“李娟.Docx.exe”,“黃.exe”等多个伪装为word图标或内容的恶意程序,如下图:



以名称为“李娟.Docx.exe”的样本

(MD5:32f8b3e8d4c0c89ac03192ef9db6d1e2)为例进行分析,该样本伪装为word图标,是C#编写的Loader程序,如下图:



该样本会释放伪装文档和bat脚本到temp目录里,同时执行bat并打开伪装文档。



样本的伪装文档内容为检察院裁判公告,详见下图:



查看文档属性信息,可以发现该文档最后修改时间为2020年10月14日,配合文档内容中出现的时间,可以推断是近期出现的攻击活动。



该样本Bat程序会执行powershell,可见下图:



Powershell会通过远程地址访问远程内容并加载执行,远程内容被放置在minpic[.]de上,远程地址为

https://www.minpic[.]de/k/b33p/nmy0x/



内容为最终载荷,C#开源远控程序AsyncRAT。



回连到andy1688.ddns[.]net。



 

    相关分析   

 

同时,该批样本中,伪装为word图标的“黄.exe”的伪装文档内容也为检察院裁决书相关,详见下图。



而“更換新S-docx.exe”程序的伪装文档内容为检察院拘捕令,详见下图



样本中的Image.exe程序,则伪装成“洗钱合作”相关的片内容,详见下图



最终载荷同样使用了AsyncRAT。


 

    总结   

 

当前局势处于较为紧张的状态,本次捕获到的样本高度可疑,需引起各方重视,提高警惕,加强安全意识,不因好奇心理打开可疑文档。




IOC


32f8b3e8d4c0c89ac03192ef9db6d1e2

45af1843f7d26ef2fe41ca447fcaa8a2

60a763d7a45adfb76cab058765a38994

0edb41acc19b43a6fca9ec0299a1e495

633462867d0371745692a62c96dcfddf

de312dc399c6861874bd828ff65be880

2120e702d60bf4c8b73e9cc898682a34

e832269f556af0c2343a7b10d4882525

7424c0241b2e88c4b2cefa14f9646341

c9cf97cd924c62325c623a7c74ad9dc0

c05de8d42b847e1956741c2579a54027

3fababcd18fd8a986676ea55cdc16d14

4f6c0849b1ec07b84eb1fccbdc3a7d2d

53f3a5d5989e66e323a2e887865b100c

57c05e7dc30fa660fbe7aaa1a660799c

6e5629dc23e884cbe202e0bd33334a9c

54aa0b147daedae52e1ae07a85aa430d

953d45534349a9c3ce2eeb3f43da4eb9

c50748b4f8ef1ad46044de5fe49cbae0

c3e2758dc78fe4c04cf9c469bb1d023d

05d2450b18bfe230c118653700dc503d

834be313665b88c7315e74c7f2179d25

6b745df2a6227c5898dc1490babd1841

8ef5c3930ef7ccec2862a765e992fdfd

2f404e225bdc919bd4cf407ce1a3b2bd

2748cfb72696852c00c381e53a14342f

andy1688.ddns[.]net

123.240.122[.]235

123.110.29[.]249






往期精选


近期东欧地区某黑产团伙以博彩为主题的钓鱼文档分析

伪冒国内银行的新窃取木马“BYL”

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

 

1775.jpg
——我不是懒,我只是懒得签名而已。PS:汽泡菌
【精酿爱好者群】加微信拉你进群 318989567
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2020 汽泡菌®精酿啤酒APP Whale shark Technology Co.,Ltd ( 陕ICP备19021550号 )|网站地图