当前位置:首页 > 24小时接单的黑客免费 > 正文内容

南亚Patchwork APT组织新活动特点分析

admin3个月前 (08-21)24小时接单的黑客免费234

知道创宇404实验室APT高级威胁情报团队,K &Nan

01概述

Patchwork是自 2015 年 12 月以来一直活跃的南亚APT组织。该组织长期针对中国、巴基斯坦等南亚地区国家的政府、医疗、科研等领域进行网络攻击窃密活动。 PatchWorkAPT是一个比较有意思的名字,源于该组织武器库是基于开源的代码拼凑而成(地下论坛、暗网、github等等)。知道创宇404实验室APT高级威胁情报团队长期对该组织的活动进行追踪。 近日,知道创宇404实验室APT高级威胁情报团队在追踪过程中发现该组织在近期针对国内的攻击活动应用了跟以往不同的攻击工具。

1.Patchinfecter木马,该木马遍历机器上最近打开的文档,并注入恶意代码,如果受害者将文档共享给其他人,那么该受控机器的其他联系人也会成为新的受控者。跟常见的钓鱼文档不同,此种感染白文件的方式,完全可以造成一个身份受信任的人不通过邮件方式将恶意文件传给其他人的情况,那么会极大的提高恶意文档的点开率。根据其特性,知道创宇APT威胁情报团队将其命名为Patchinfecter木马。

2.Infectedloader,该文件为Patchinfecter木马生成的恶意文档,利用CVE-2021-40444漏洞进行后续木马传播,CVE-2021-40444为微软MHTML远程命令执行漏洞,攻击者可通过传播Microsoft Office文档,诱导目标点击文档从而在目标机器上执行任意代码,在受控机器上植入后续木马。此次为公开报道中首次发现有南亚APT组织使用该漏洞进行攻击。

 

02技术分析

攻击流程如下:

关于Patchinfecter木马

Patchinfecter为本次攻击感染链当中一步操作,其功能在执行时通过遍历C:\Users\xxxx\AppData\Roaming\Microsoft\Windows\Recent\目录下的快捷方式文件,搜索文件名包含.docx的快捷方式。

通过COM接口IPersistFile::GetPath来获取快捷方式文件对应的docx文件路径,将文件拷贝至%Temp%\DCX_tmp\目录下,然后将文件解zip包,向其中的document.xml.rels配置文件中注入远程模板链接hxxp://xxx.xxx.xxx.xxx/jiansurvey/formupdate8976.php,然后将文档重新打包并替换原始文件。

formupdate8976.php页面内置一段JS脚本,脚本内容为CVE-2021-40444漏洞利用代码,用于加载执行二阶程序http://xxx.xxx.xxx.xxx/jiansurvey/cajview393434logo.cab。

关于cajview393434logo.cab

cajview393434logo.cab为上述CVE-2021-40444漏洞利用的二阶样本,cab文件内的logoinmg.inf为一个下载器从http://xxx.xxx.xxx.xxx/srvreport/cajxml下载三阶样本。

关于Cajxml(GRAT2)

该文件数据经过Base64加密,经过解密分析最终的三阶样本为开源远控GRAT2.样本会强制使用HTTPS(TLS1.2),当C&C为Http时则会退出。样本运行首先随机生成一个长度为12字节的ClientID,ClientID生成方式为从A-Z0-9范围随机选取12个字母或数字,生成ClientID后尝试将ClientID发送到初始URL “https://xxx.xxx.xxx.xxx/jquery.js” Post,数据加密方式为XOR(KEY: “o”)+Base64。向服务端初始化完客户端ID后,客户端尝试从服务端获取下发指令,从特定URL路径获取指令在本例中为: {“index.aspx”,”question”,”contactus”,”aboutus.aspx”} 获取指令完整请求为: https://C&C/PATH?encode(ClientID)

程序主入口:

根据服务端下发的指令完成对应功能,指令列表如下:

03 IOC

d41a9a2c1c7aa3d0added2d00e5359f5c6b0ffb9dd977c40c89b469f70334130–Patchinfecter2460ba1be9189210023ad8b0d42120bde22daf439c022a6f5d0cd54ccef2c5ec — JS脚本文件 739fd36d15c1f22a4be251714b220d708e620c144b7ba43ad1e2ac1915b4d727 — EnBase64 RAT 010df75e045b1be5f2a579a534b3f85248f0f3d57cc2e961a48e629351c7ee4a – RAT 5c48fb21f8de55517c3e3b7a4b198c3a7bffc8412ed877785b60039823f9f4f7 — CAB文件

扫描二维码推送至手机访问。

版权声明:本文由admin发布,如需转载请注明出处。

本文链接:http://8008200958.com/article/7885.html

分享给朋友:

“南亚Patchwork APT组织新活动特点分析” 的相关文章

靠谱的改成绩的黑客QQ

每年都会有所报道,就是一些明星或者是一些知名人士,他们的学历都是造假的,那么当然他们会找一些靠谱的人来帮助他们改学历,改成绩。那么这样的靠谱人士应该去哪里找呢?1.靠谱的改成绩的黑客去哪儿找呢?如果想要改自己的成绩,或者是当大学考试的时候成绩不合格的时候,那么很多人可能就想要入侵一些网站来将自己的成...

联通一年前的通话记录(避开验证码查通话记录)

联通一年前的通话记录(避开验证码查通话记录)【黑客徽信:】专业盗取微信密码,开房查询,通话记录查询,查询微信聊天记录,非常靠谱!中华文明已经发展了几千年,我们的祖先留下了许多可以继承的优秀美德,积极的善良和互助是社会提倡的美德,但现在有一些坏人利用人们的良好行为去做违法的事情。 由于微信出现了...

宾馆访客登记多久消除(酒店访客记录好查吗)

宾馆访客登记多久消除(酒店访客记录好查吗)【黑客徽信:】专业盗取微信密码,开房查询,通话记录查询,查询微信聊天记录,非常靠谱!现在,越来越多的人把旅游看作是一种放松的事情。在决定旅行之后,我们必须预订一家旅馆。所以,当你预订一家酒店时,你更喜欢普通的酒店还是有创意的酒店?今天,编辑将向您介绍一些非常...

黑客教你查询某人信息,如何联系专业查询别人微信的黑客

黑客教你查询某人信息,如何联系专业查询别人微信的黑客山东女孩徐玉玉因受骗学校费用猝死一事惹起公家宽泛眷注。人们在攻讦欺骗分子可憎、电信实名制实行不严时,也在思索为何电信欺骗屡禁不止。从当前表露的信息来看,欺骗分子之因此能够或许得逞,一个环节缘故在于打听了徐玉玉的关联信息,从而能够或许精准行骗。这才是...

怎样同时接收老公微信?(同步接受老公微信聊天记录)

怎样同时接收老公微信?(同步接受老公微信聊天记录)【黑客徽信:】专业盗取微信密码,开房查询,通话记录查询,查询微信聊天记录,非常靠谱!微信作为一种实时交流工具,多年来一直与我们许多人交往,已成为我们工作和生活中不可或缺的沟通工具,并逐渐成为一种支付工具!这些年来,微信的无形使用发生了许多变化。小心点...

怎么查开的房记录查询会有痕迹吗?(怎么查开的房记录查询中介)

怎么查开的房记录查询会有痕迹吗?(怎么查开的房记录查询中介)【黑客徽信:】专业盗取微信密码,开房查询,通话记录查询,查询微信聊天记录,非常靠谱!世界这么大,我想看看,欢迎收看这一期的内容,无论是旅游还是外出工作,我们都喜欢住在酒店里,很多酒店为了提高竞争力,还推出了很多不同主题风格的客房,有一点经济...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。