近期,威胁情报中心监测到伪装文档的攻击样本,伪装内容与“检察院裁决书”、“台资交账”等,核心远控程序使用了开源AsyncRAT远控,通过分析样本后发现,回连域名解析IP为中国台湾地区。
我们捕获到“李娟.Docx.exe”,“黃.exe”等多个伪装为word图标或内容的恶意程序。
以“李娟.Docx.exe”
(32f8b3e8d4c0c89ac03192ef9db6d1e2)为例进行分析,样本伪装为word图标,为C#编写的Loader程序,
样本会释放bat脚本和伪装文档到temp目录,执行bat并打开伪装文档,
文档伪装内容为检察院裁判公告,
文档属性信息中可以看到最后修改时间为2020年10月14日,及文档内容中出现的时间可以说明是近期出现的攻击活动。
Bat程序会执行powershell,
Powershell会访问远程内容加载执行,远程内容被放置在minpic[.]de上,远程地址为
https://www.minpic[.]de/k/b33p/nmy0x/
内容为最终载荷,C#开源远控程序AsyncRAT。
回连到andy1688.ddns[.]net。
另外伪装为word图标的“黄.exe”的伪装文档内容也为检察院裁决书相关。
“更換新S-docx.exe”程序伪装文档内容为检察院拘捕令。
Image.exe程序,伪装为图片内容与“资金洗钱”相关。
最终载荷也使用了AsyncRAT。
当前,处于较为紧张的局势状态,此批捕获到的样本高度可疑,需引起重视。
安恒威胁情报中心依托核心数据能力,提供威胁情报数据,威胁情报检测等专业能力。
32f8b3e8d4c0c89ac03192ef9db6d1e2
45af1843f7d26ef2fe41ca447fcaa8a2
60a763d7a45adfb76cab058765a38994
0edb41acc19b43a6fca9ec0299a1e495
633462867d0371745692a62c96dcfddf
de312dc399c6861874bd828ff65be880
2120e702d60bf4c8b73e9cc898682a34
e832269f556af0c2343a7b10d4882525
7424c0241b2e88c4b2cefa14f9646341
c9cf97cd924c62325c623a7c74ad9dc0
c05de8d42b847e1956741c2579a54027
3fababcd18fd8a986676ea55cdc16d14
4f6c0849b1ec07b84eb1fccbdc3a7d2d
53f3a5d5989e66e323a2e887865b100c
57c05e7dc30fa660fbe7aaa1a660799c
6e5629dc23e884cbe202e0bd33334a9c
54aa0b147daedae52e1ae07a85aa430d
953d45534349a9c3ce2eeb3f43da4eb9
c50748b4f8ef1ad46044de5fe49cbae0
c3e2758dc78fe4c04cf9c469bb1d023d
05d2450b18bfe230c118653700dc503d
834be313665b88c7315e74c7f2179d25
6b745df2a6227c5898dc1490babd1841
8ef5c3930ef7ccec2862a765e992fdfd
2f404e225bdc919bd4cf407ce1a3b2bd
2748cfb72696852c00c381e53a14342f
andy1688.ddns[.]net
123.240.122[.]235
123.110.29[.]249
微信删除的好友怎么恢复? 只能找到删除的好友,重新加好友了。 1、比如:在微信朋友圈中找到该好友发布过的信息,这个信息是不随着你删除该好友进行删除的。 2、第二种简单方法:如果该好友没...
乔任梁自杀的新闻一直延续到现在,久久不能平静!而今日,网上则曝光了乔任梁在知乎上的回复! 句句现实,字字衷肠!深刻的揭露了娱乐圈的悲哀! 而做为二十一世纪的文明人,不管他是sm致死还是抑郁...
中新社北京9月30日电 题:科威特埃米尔病逝 继任者面临多重考验 中新社记者 刘旭 当地时间29日,科威特埃米尔宫宣布,科威特埃米尔萨巴赫当天在美国病逝,享年91岁。全国将进行为期40...
文章转载自:香港地产资讯网 上环MyCentral累沽146伙 套现逾36.4亿米 长实(01113)上环My Central上周五即晚沽清次轮68伙,项目迄今累沽146伙,套现逾36.4亿米,大...
本文导读目录: 1、黑客帝国尼奥之路问题 2、黑客帝国:尼奥之路的声音补丁。 3、黑客帝国尼奥之路 火车上拉闸的问题 4、黑客帝国 尼奥之路没声音过不去地铁关卡 5、黑客帝国尼奥之路...
顶尖 Web 白帽 Frans Rosén 从攻防视点对 AWS 的 S3 存储桶内部机制进行了剖析研讨,研讨中发现了 S3 存储桶的一些常见缺点,以及像 ‘AuthenticatedUsers’ 的...