“蛛”联璧合?LUNAR SPIDER活动中发现WIZARD SPIDER的TrickBot定制模块

访客5年前黑客文章871

2019年2月7日,CrowdStrike Intelligence发现了一个对WIZARD SPIDER歹意安排的TrickBot歹意软件进行分发的新活动,此次活动来自LUNAR SPIDER歹意安排,其特别之处在于,这是迄今为止初次在LUNAR SPIDER的活动中发现此类TrickBot模块的变体。
WIZARD SPIDER是TrickBot银行歹意软件的俄罗斯运营商,迄今为止一向处于不断发展的阶段,GRIM SPIDER疑似为WIZARD SPIDER要挟安排的所属小组。而LUNAR SPIDER歹意安排则是东欧产品银行歹意软件的开发和运营商,其名下的歹意软件BokBot(又叫IcedID)于2019年4月初次呈现。BokBot歹意软件经过运用webinjects和歹意软件分发功用,让LUNAR SPIDER在凭据偷盗和电信诈骗上大展拳脚。
2019年7月,CrowdStrike Intelligence初次确认了触及BokBot和TrickBot的活动。在这些活动中,受BokBot感染的机器发出了下载和履行TrickBot有效载荷的指令。自那时起,BokBot和TrickBot之间的联系便一向时断时续,而最近的这次活动或许标志着两者联系进入了一个更为“密切”的阶段。
TrickBot的分发
2019年2月7日,LUNAR SPIDER的BokBot(项目ID C610DF9A)被观测到从http://tfulf[.]host/ sw9hjxzq.exe处下载并履行了一个加载器,该定制的加载器随后从http://185.68.93[.]30/sin.png处下载了一个TrickBot加载器。此样本的配置文件标明它是TrickBot的1000351版别而且归于组标(gtag)为sin2的组。前缀为sin的组标是从前前缀为mom的组标的继任,与此次LUNAR SPIDER活动相关。
完好的TrickBot配置文件,包含指令和操控(C2)服务器,如下所示。
     1000351
     sin2
    
          185.246.64[.]237:443
          68.119.85[.]138:449
          65.184.200[.]184:449
          185.62.188[.]30:443
          96.36.253[.]146:449
          92.38.135[.]33:443
          24.247.181[.]155:449
          31.131.22[.]212:443
          208.79.106[.]155:449
          192.227.204[.]224:443
          124.29.213[.]74:449
          46.100.14[.]215:449
          190.109.178[.]222:449
          103.47.168[.]172:449
          208.79.110[.]201:449
          204.14.154[.]126:449
          103.47.168[.]72:449
          103.47.168[.]91:449
          46.21.249[.]220:443
          107.146.147[.]235:449
          185.62.188[.]30:443
          68.111.123[.]100:449
          103.47.169[.]27:449
          24.247.182[.]240:449
          36.91.74[.]138:449
          125.209.82[.]158:449
          76.107.90[.]235:449
          47.224.98[.]123:449
          185.222.202[.]79:443
          24.247.182[.]253:449
          216.17.92[.]138:449
          199.21.106[.]189:449
          208.79.106[.]213:449
          24.247.182[.]253:449
          136.25.2[.]43:449
          181.129.93[.]226:449
          170.79.176[.]242:449
    
    
         
         
         
    
修正后的TrickBot模块
此次活动遵从了从前的方式,使用BokBot帮忙传达TrickBot。不过,最风趣的部分是定制加载器是嵌入式base64编码的可移植可履行(PE)文件,如图1所示。

图1. Base64编码的PE文件
嵌入的PE文件由定制加载器提取,然后解码并履行。剖析标明,解码后的PE文件实际上是TrickBot横向移动模块shareDll的修正版别。一般,TrickBot模块以动态链接库(DLL)的方式下载,并供给一组名为Start、Control和Release的导出标准集。然后此DLL将被注入到一个TrickBot模块化结构内的子svcho .exe进程中。可是,在没有此结构的情况下,BokBot分发的shareDll模块是一个PE文件。

[1] [2]  黑客接单网

相关文章

我在游戏机房输了很多钱、老板坚决不退一分钱、用

.text:0000000000466AF2 mov esi, PHP 7.2.15-0ubuntu0.18.04.2 (cli) (built: Mar 22 2019 17:05:14) ( NT...

百度竞价歹意点击实战心得

 这将是一篇很有含义的文章,能够让你对百度凤巢体系有更深一步知道。 仔细看下去,收成必将不少。 百度推广凤巢体系同一ip屡次点击会算为一次费用吗? 百度推广同行歹意点击体系会过滤掉吗? 咱们将从以下几...

攻击观察:通过滥用Windows Installer MSI中的自定义操作来运行恶意JS/VBS/PowerShell

Windows Installer运用Microsoft Software Installation (MSI)包文件来装置程序,每个包文件都有一个联系型数据库,其间包括装置或删除程序所需的指令和数据...

解压码-接单网

这个含糊测验方针现已至少发现了一个security regression:缝隙,修正补丁。 该缝隙的Reproducer输入是一个带有音讯文本的可读文件。 三、重出江湖的APT安排8、“714高炮”要...

黑客接单服务_黑客攻击找flag

需求指出的是,以上趋势仅依据监控数据,实践许多用户是黑客经过服务器进犯浸透侵略内网后投进的勒索病毒,亦或用户终端不联网经过内网其他机器感染的勒索病毒,这些景象下是无法监控到数据的。 for (int...

笔记本杀毒软件哪个好,电影升级为什么找黑客,黑客宝宝找爹地

第三章 该安排运用的C&C 22 $this->db->query("DELETE FROM ".DB_PREFIX."comment WHERE ip='$ip'");[1][2...