先办事黑客在线接单(黑客盗QQ号的教程

先办事黑客在线接单(黑客盗QQ号的教程

黑客平台hacker2020-10-31 8:00:008514A+A-

雷锋网编者按:2017 年 11 月 14 日,美国计算机安全应急响应小组(US-CERT)发布了“Hidden Cobra”团伙(即Lazarus)常用工具 FALLCHILL、Volgmer 的分析报告,指出该团伙具有朝鲜政府背景。微步在线发现,US-CERT 报告中描述的 FALLCHILL 与其发现该团伙最新的后门程序功能特点高度一致。该文为微步在线投稿,雷锋网(公众号:雷锋网)在不影响原意的基础上略有删减。

概要

1.US-CERT 分析的 FALLCHILL 样本为该团伙2016年期间使用的早期版本,公布的 IOC 中共计 196 个IP地址,其中美国(44个)、印度(37个)、伊朗(26个)和中国(14个)的等国家占比较高。

2.微步在线近日捕获了多份伪装成金融相关行业招聘信息的恶意文档,执行后会释放新版的 FALLCHILL 后门。该程序设计功能相对复杂,能够根据攻击者发送指令实现上传系统信息、创建文件、进程等操作,使得系统环境和功能操作完全在控制者的掌握之中,危害较大。

3.FALLCHILL 与 C&C 服务器的通信过程会包含失效的数字证书,涉及 Google、Apple、Yahoo!、Github以及Baidu、Lenovo等国内外大型网站,以规避检测。

4.近期针对韩国的一系列网络攻击活动中,攻击者使用了相似的手法和木马工具,判断同为 Lazarus团伙所为。

5.微 Lazarus 仍在使用的 IP12 个,其中个别主机属于我国主流云厂商。

6.Lazarus 团伙除继续针对韩国、美国开展渗透攻击,已开始将触手伸向亚洲其他国家的金融行业,其主要使用入侵的合法网站服务器作为C&C(远程控制)服务器,且基础设施和通信过程与中国存在较大联系,对我国的潜在危害巨大。

详情

2017 年 11 月 14 日,US-CERT 发布 Lazarus 团伙 FALLCHILL、Volgmer 两款木马的分析报告,指出FALLCHILL(公开的样本编译时间为2016年3月)会使用伪造的 TLS 协议与 C&C 通信,并收集受害者主机的操作系统版本、处理器、IP 和 MAC 等基础信息,同时按照 C&C 指令执行创建文件、删除文件、创建进程、关闭进程等操作,与我们近期捕获该组织恶意样本的功能和特点基本一致。

微步在线最新捕获该组织使用的恶意文档名为JD.doc,语言编码为韩语,最后的修改时间为2017年10月26日。 

打开后会提示“该文档由新版本创建,需点击允许编辑,并点击启用内容”,诱导用户启用恶意宏脚本。 

该脚本会打开一份Juno公司(境外比特币公司)招聘CFO的职位描述文档,用于迷惑受害者,同时释放名为“smss.exe”的FALLCHILL工具(编译时间为2017年10月)。如下图所示: 

此外,我们还捕获了多份类似的招聘文档,主题包括面向亚洲地区招聘财务人员的职位要求(8月21日)和IBM公司在菲律宾招聘要求(8月6日)等,释放的恶意样本属于较新版本的FALLCHILL。 


(责任编辑:网络)

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理