利用木马化TeamViewer针对多个国家 *** 机构的攻击行动-黑客接单平台

访客5年前黑客工具561
近来Check Point的研讨人员发现了几起 *** 进犯事情,主要是针对美国财政部分的官员以及几位欧洲大使馆代表。此次进犯以伪装成秘要文件的歹意附件开端,经过将TeamViewer(一个盛行的长途拜访和桌面共享软件)兵器化来彻底操控受感染的电脑。 在研讨了此次进犯的感染链和基础设施后,咱们将其比对了从前的进犯事例,并将进犯者锁定在了一位俄语黑客身上。 在本文中,咱们将评论感染链、进犯方针、进犯者运用的东西以及进犯背面的或许原因。 感染链 感染始于一个带有歹意宏的XL *** 文档,该文档以“军事融资方案”(Military Financing Program)为主题,经过电子邮件发送给潜在方针: 电子邮件主题:军事融资方案 文档称号:“Military Financing Program.xl *** ” sha – 256:efe51c2453821310c7a34dca3054021 d0f6d453b7133c381d75e3140901efd12 图1:歹意文件 这份拷贝精巧的Excel文件,不但布景印上了美国标志,还在文档底部写上了“更高秘要”。尽管进犯者努力使文档看起来具有说服力,但他们好像疏忽了文档中留传的一些西里尔语的成分(比方作业簿的称号),而这或许会协助咱们提醒进犯源的更多信息。 图2:感染链 一旦宏启用,有两个文件将从XL *** 文档中的十六进制编码单元格中被提取。之一个文件是一个合法的AutoHotkeyU32.exe程序,另一个则是AutoHotkeyU32.ahk,它是一个AHK脚本,担任向C&C服务器发送POST恳求,并可以接纳其他AHK脚本URL用以下载和履行。 别的,有三个不同的AHK脚本在服务器上等候响应以敞开下一阶段: · hscreen.ahk:担任截取受害者PC的屏幕截图并将其上传到C&C服务器。 · hinfo.ahk:将受害者的用户名和计算机信息发送到C&C服务器。 · htv.ahk:下载并履行TeamViewer的歹意版别,并将登录凭证发送到C&C服务器。 歹意TeamViewer DLL(TV.DLL)经过DLL side-loading技能加载,用于经过钩住程序调用的Windows API为TeamViewer增加更多“功用”。 修正的功用包含: · 躲藏TeamViewer的接口,这样用户就不会知道它正在运转。 · 将当时TeamViewer会话凭证保存到文本文件中。 · 答应传输和履行额定的EXE或DLL文件。 图3:MoveFileW函数钩子:增加payload“履行”和“注入”功用。 进犯方针 如上一节所述,AutoHotKey脚本的首要用处之一是从受感染的PC上传屏幕截图。 这些截图上传到的目录是露出的,可以经过阅读特定的URL检查: 图4:翻开带有受害者截图的目录 可是,这些截屏文件会定时从服务器中删去,并且终究“open directory”视图会被禁用。 在那之前,咱们可以确认此次进犯的部分受害者,由于大多数截屏都包含了身份信息。 依据咱们在自己的遥测中观察到的方针,以及从服务器上收集到的信息,咱们可以列出部分方针国家的名单: · 尼泊尔 · 圭亚那 · 肯尼亚 · 意大利 · 利比里亚 · 百慕大 · 黎巴嫩 只是看它针对的国家名单,很难判别这场运动背面是否有地缘政治动机,由于它针对的不是某个特定区域,并且受害者来自世界各地。 不过,观察到的受害者名单显现,进犯者对公共金融部分特别感兴趣,由于他们好像都是进犯者“精心选择”的税务部分官员。 举动溯源 咱们观察到,该进犯者在其以往的进犯举动中都用到了TeamViewer的木马化版别,但歹意DLL的特性以及感染的之一阶段都跟着时刻的推移发生了改变。 传达 要挟行为者运用的初始感染载体也跟着时刻的推移而发生改变,在2019年,咱们曾在他 *** 的多起进犯事例中看到过自解压档案的多种用处,而不是运用AutoHotKey向用户显现钓饵图画的歹意文档。 例如,自解压档案“Положениеопрокуратурегорода(приказомпрокуроракрая)_25.12.2019.DOC.exe”(翻译成“市检察官办公室法令”(按区域检察官的指令)_25.12.2019.DOC.exe”)显现图画如下: 图6:钓饵图片 这张相片显现的是哈萨克斯坦的官员,发布于哈萨克斯坦外交部网站。该可履行文件的原始称号及其显现的内容好像都标明,它的方针是俄语受害者。 还有其他一些举动也是针对俄语人群的,其间就有一份兵器化的Excel文档中提到了需求启用宏才干显现文件完好的俄语内容: 图7:钓饵文件 SHA-256: 67d70754c13f4ae3832a5d655ff8ec2c0fb3caa3e50ac9e61ffb1557ef35d6ee 启用宏后文件将显现金融相关内容: [1][2][3]黑客接单网

相关文章

黑客接单攻击服务器,黑客怎么找的服务器的,哪里找黑客接单

SQL注入是一种歹意进犯,用户利用在表单字段输入SQL句子的方法来影响正常的SQL履行。 还有一种是经过system()或exec()指令注入的,它具有相同的SQL注入机制,但只针对shell指令。...

空间相册,找黑客定位要多少钱,找黑客改成绩真的可行吗

关键字辨认   Selection Path Priority Status翻开 [我国菜刀] 衔接一句话木马;2 SAMSUNG 75对...

php网站被挂木马后的修正办法总结

 本文实例总结了php网站被挂木马后的修正办法。共享给咱们供咱们参阅。具体办法如下:   在linux中咱们能够运用指令来搜寻木马文件,到代码装置目录履行下面指令 仿制代码 代码如下: find ./...

中国破解,专业解冻qq黑客联系方式,如何找黑客黑别人手机号码

一个中心站点地图是用于汇总搜集到的方针运用程序信息,并经过确认的规模来辅导单个程序作业。 长处:选用了必定数据剖析的办法,网站的拜访量到达必定量级时这种检测办法的成果具有较大参考价值。 Last Vi...

最高信誉的黑客接单网_网上qq上找黑客查信息靠谱吗

SplashData剖析的这500万被走漏的暗码主要是北美和西欧的用户,成人网站走漏的暗码不包含在剖析陈述中。 0x01 Powershell 日志与版别 int end_byte; /* The l...

24小时黑客在线接单交易平台 真正的黑客先做事后付款

有些人用电脑远程管理软件盗取别人的在线接单电话! 黑客在线接单电话 目前,有一千多人在利用“黑客”读取网民的宽带账号和密码,在电信增值服务网站“互联网星空”上购买游戏点卡片、Q币等商品,然后低价出售牟...