“蛛”联璧合？LUNAR SPIDER活动中发现WIZARD SPIDER的TrickBot定制模块

访客6年前 (2019-10-31)黑客文章917

2019年2月7日，CrowdStrike Intelligence发现了一个对WIZARD SPIDER歹意安排的TrickBot歹意软件进行分发的新活动，此次活动来自LUNAR SPIDER歹意安排，其特别之处在于，这是迄今为止初次在LUNAR SPIDER的活动中发现此类TrickBot模块的变体。
WIZARD SPIDER是TrickBot银行歹意软件的俄罗斯运营商，迄今为止一向处于不断发展的阶段，GRIM SPIDER疑似为WIZARD SPIDER要挟安排的所属小组。而LUNAR SPIDER歹意安排则是东欧产品银行歹意软件的开发和运营商，其名下的歹意软件BokBot（又叫IcedID）于2019年4月初次呈现。BokBot歹意软件经过运用webinjects和歹意软件分发功用，让LUNAR SPIDER在凭据偷盗和电信诈骗上大展拳脚。
2019年7月，CrowdStrike Intelligence初次确认了触及BokBot和TrickBot的活动。在这些活动中，受BokBot感染的机器发出了下载和履行TrickBot有效载荷的指令。自那时起，BokBot和TrickBot之间的联系便一向时断时续，而最近的这次活动或许标志着两者联系进入了一个更为“密切”的阶段。
TrickBot的分发
2019年2月7日，LUNAR SPIDER的BokBot（项目ID C610DF9A）被观测到从http://tfulf[.]host/ sw9hjxzq.exe处下载并履行了一个加载器，该定制的加载器随后从http://185.68.93[.]30/sin.png处下载了一个TrickBot加载器。此样本的配置文件标明它是TrickBot的1000351版别而且归于组标（gtag）为sin2的组。前缀为sin的组标是从前前缀为mom的组标的继任，与此次LUNAR SPIDER活动相关。
完好的TrickBot配置文件，包含指令和操控（C2）服务器，如下所示。
     1000351
     sin2

          185.246.64[.]237:443
          68.119.85[.]138:449
          65.184.200[.]184:449
          185.62.188[.]30:443
          96.36.253[.]146:449
          92.38.135[.]33:443
          24.247.181[.]155:449
          31.131.22[.]212:443
          208.79.106[.]155:449
          192.227.204[.]224:443
          124.29.213[.]74:449
          46.100.14[.]215:449
          190.109.178[.]222:449
          103.47.168[.]172:449
          208.79.110[.]201:449
          204.14.154[.]126:449
          103.47.168[.]72:449
          103.47.168[.]91:449
          46.21.249[.]220:443
          107.146.147[.]235:449
          185.62.188[.]30:443
          68.111.123[.]100:449
          103.47.169[.]27:449
          24.247.182[.]240:449
          36.91.74[.]138:449
          125.209.82[.]158:449
          76.107.90[.]235:449
          47.224.98[.]123:449
          185.222.202[.]79:443
          24.247.182[.]253:449
          216.17.92[.]138:449
          199.21.106[.]189:449
          208.79.106[.]213:449
          24.247.182[.]253:449
          136.25.2[.]43:449
          181.129.93[.]226:449
          170.79.176[.]242:449






修正后的TrickBot模块
此次活动遵从了从前的方式，使用BokBot帮忙传达TrickBot。不过，最风趣的部分是定制加载器是嵌入式base64编码的可移植可履行（PE）文件，如图1所示。

图1. Base64编码的PE文件
嵌入的PE文件由定制加载器提取，然后解码并履行。剖析标明，解码后的PE文件实际上是TrickBot横向移动模块shareDll的修正版别。一般，TrickBot模块以动态链接库(DLL)的方式下载，并供给一组名为Start、Control和Release的导出标准集。然后此DLL将被注入到一个TrickBot模块化结构内的子svcho .exe进程中。可是，在没有此结构的情况下，BokBot分发的shareDll模块是一个PE文件。

[1] [2] 黑客接单网

标签: 黑客接单找黑客平台

返回列表

上一篇：中国音乐金钟奖（中国音乐金钟奖官网）

下一篇：温故知新：寻觅新缝隙，绕过JS沙箱的约束

相关文章

黑客大牛在线接单真假_淘宝上怎么找接单的黑客

论坛、贴吧留在特定帖子里的手机号尽管gRPC的API Fuzzer并没有运用libFuzzer的自界说mutator或protobuf，可是，它仍然是针对有状况API的含糊测验的一个很好的简略示例。...

老公赌钱输了把车子拿去当了请问我可以报警把车子

Restart=on-abort虽然微软的安全响应中心（MSRC）暂时没有发现有利用此漏洞的恶意攻击样本，但还是要做到充分的准备。最近研究发现，恶意攻击者极有可能为此漏洞编写一个利用程序，并将其嵌入...

黑客入侵网址接单_重庆黑客哪里找

message Command {在本文中，咱们将首要剖析怎么绕过过滤器、输入整理和WAF规矩，完成PHP的长途代码履行。一般，当我在写这样的文章时，人们总是会问，“真的有人写出这样的代码吗？”而且...

个人身份_找黑客改教师资格证面试成绩-找一个徐州网络黑客贴吧人才

「个人身份_找黑客改教师资格证面试成绩-找一个徐州网络黑客贴吧人才」b、绕过union select或select from的检测当程序得到了列表中主机的网络管理员账号时,CredCrack将会在网络...

计算机语言学习,去哪找盗号的黑客,找黑客改学信网

17、无忧传奇官方站点程序。 PC侧装备F12 输入 imageData.name , document.body.outerHTML 能够看调试成果下载结束后，双击下载到本地的 [w...

黑客接单网 - 黑客接单 - 找黑客?唯一信誉的黑客接单网站!

黑客接单网 - 黑客接单 - 找黑客?唯一信誉的黑客接单网站!网站的背景登录链接时时黑客入侵的流派网站。将登录链接露出给网站会给网站带来更紧张的平安隐患，因为黑客平时应用背景文件(如图片上传、数据库写...