疑似中国台湾方向相关组织近期攻击活动分析

访客4年前黑客文章841

1.摘要

近期,威胁情报中心监测到伪装文档的攻击样本,伪装内容与“检察院裁决书”、“台资交账”等,核心远控程序使用了开源AsyncRAT远控,通过分析样本后发现,回连域名解析IP为中国台湾地区。

2.恶意程序分析

我们捕获到“李娟.Docx.exe”,“黃.exe”等多个伪装为word图标或内容的恶意程序。

1981cf7b72b71ed29932cf81181765da-sz_16130.png

以“李娟.Docx.exe”

(32f8b3e8d4c0c89ac03192ef9db6d1e2)为例进行分析,样本伪装为word图标,为C#编写的Loader程序,

2dad8233d2524a7ab29d027876bc9e9f-sz_85420.png

样本会释放bat脚本和伪装文档到temp目录,执行bat并打开伪装文档,

文档伪装内容为检察院裁判公告,

f91f5412800263448f43f7954699b4b6-sz_613851.png

文档属性信息中可以看到最后修改时间为2020年10月14日,及文档内容中出现的时间可以说明是近期出现的攻击活动。

8e203d96db22a23d145e973114a92804-sz_34476.png

Bat程序会执行powershell,

c74a7866cb94a612c148fe0920f9b346-sz_50498.png

Powershell会访问远程内容加载执行,远程内容被放置在minpic[.]de上,远程地址为

https://www.minpic[.]de/k/b33p/nmy0x/

内容为最终载荷,C#开源远控程序AsyncRAT。

111d06bd665f24ad8087f99f91929484-sz_73178.png

回连到andy1688.ddns[.]net。

ad2045ea7255bea91df6ac7ca946c9ad-sz_13291.png

另外伪装为word图标的“黄.exe”的伪装文档内容也为检察院裁决书相关。

“更換新S-docx.exe”程序伪装文档内容为检察院拘捕令。

504d96fbc267afdf70b2c04fe7226865-sz_1462165.png

Image.exe程序,伪装为图片内容与“资金洗钱”相关。

最终载荷也使用了AsyncRAT。

3.总结

当前,处于较为紧张的局势状态,此批捕获到的样本高度可疑,需引起重视。

安恒威胁情报中心依托核心数据能力,提供威胁情报数据,威胁情报检测等专业能力。

4.IOC

32f8b3e8d4c0c89ac03192ef9db6d1e2

45af1843f7d26ef2fe41ca447fcaa8a2

60a763d7a45adfb76cab058765a38994

0edb41acc19b43a6fca9ec0299a1e495

633462867d0371745692a62c96dcfddf

de312dc399c6861874bd828ff65be880

2120e702d60bf4c8b73e9cc898682a34

e832269f556af0c2343a7b10d4882525

7424c0241b2e88c4b2cefa14f9646341

c9cf97cd924c62325c623a7c74ad9dc0

c05de8d42b847e1956741c2579a54027

3fababcd18fd8a986676ea55cdc16d14

4f6c0849b1ec07b84eb1fccbdc3a7d2d

53f3a5d5989e66e323a2e887865b100c

57c05e7dc30fa660fbe7aaa1a660799c

6e5629dc23e884cbe202e0bd33334a9c

54aa0b147daedae52e1ae07a85aa430d

953d45534349a9c3ce2eeb3f43da4eb9

c50748b4f8ef1ad46044de5fe49cbae0

c3e2758dc78fe4c04cf9c469bb1d023d

05d2450b18bfe230c118653700dc503d

834be313665b88c7315e74c7f2179d25

6b745df2a6227c5898dc1490babd1841

8ef5c3930ef7ccec2862a765e992fdfd

2f404e225bdc919bd4cf407ce1a3b2bd

2748cfb72696852c00c381e53a14342f

andy1688.ddns[.]net

123.240.122[.]235

123.110.29[.]249

相关文章

不花钱找回删除的微信好友「专业调取他人的微信聊天记录」

  微信删除的好友怎么恢复?   只能找到删除的好友,重新加好友了。   1、比如:在微信朋友圈中找到该好友发布过的信息,这个信息是不随着你删除该好友进行删除的。   2、第二种简单方法:如果该好友没...

独家内幕:乔任梁自杀的原因,看完惊呆了

独家内幕:乔任梁自杀的原因,看完惊呆了

乔任梁自杀的新闻一直延续到现在,久久不能平静!而今日,网上则曝光了乔任梁在知乎上的回复! 句句现实,字字衷肠!深刻的揭露了娱乐圈的悲哀! 而做为二十一世纪的文明人,不管他是sm致死还是抑郁...

科威特埃米尔病逝享年91岁 继任者面临多重考验

  中新社北京9月30日电 题:科威特埃米尔病逝 继任者面临多重考验   中新社记者 刘旭   当地时间29日,科威特埃米尔宫宣布,科威特埃米尔萨巴赫当天在美国病逝,享年91岁。全国将进行为期40...

香港房产信息:上环MyCentral累沽146伙 套现逾36.

文章转载自:香港地产资讯网 上环MyCentral累沽146伙 套现逾36.4亿米 长实(01113)上环My Central上周五即晚沽清次轮68伙,项目迄今累沽146伙,套现逾36.4亿米,大...

黑客帝国尼奥之路没声音(黑客帝国尼奥之路操作)

黑客帝国尼奥之路没声音(黑客帝国尼奥之路操作)

本文导读目录: 1、黑客帝国尼奥之路问题 2、黑客帝国:尼奥之路的声音补丁。 3、黑客帝国尼奥之路 火车上拉闸的问题 4、黑客帝国 尼奥之路没声音过不去地铁关卡 5、黑客帝国尼奥之路...

国外的黑客网站大全,黑客入侵国家网络,怎样防止黑客破解wifi密码

顶尖 Web 白帽 Frans Rosén 从攻防视点对 AWS 的 S3 存储桶内部机制进行了剖析研讨,研讨中发现了 S3 存储桶的一些常见缺点,以及像 ‘AuthenticatedUsers’ 的...