巴基斯坦军方被名叫“Confucius ”的黑客组织用Pegasus引诱为目标

朦胧的风

网络安全公司趋势科技（Trend Micro）发现了名叫Confucius的网络犯罪团伙最近进行的恶意活动。黑客们利用臭名昭著的以色列Pegasus（飞马恶意软件）诱饵发起了一场钓鱼活动，欺骗用户点击下载数据盗窃代码的恶意文件。

攻击以一封干净的电子邮件开始，其中包含从巴基斯坦合法报纸文章中复制的文字。两天后，受害者收到一封新的电子邮件，其中包含冒充巴基斯坦军方官员关于PegASUS间谍软件的警告，其中包括一个cutt.ly链接到加密的Word文档和一个解密密码。



无论受害者采取什么行动，点击其中任何一个链接都会下载Word文档。如果目标人物输入了电子邮件中的密码，电脑屏幕上就会出现一个带有宏的文档。如果该特定机器上启用了宏，下一步就是简单地加载恶意代码。一个名为skfk.txt的.NET DLL文件就会在临时目录中被创建，该文件包含文档注释栏的材料。PowerShell被用来将该文件加载到内存中，并用于窃取数据。



简单地说，当列出的扩展名的MD5哈希值匹配时，该文件就会通过C&C服务器被检索出来。没有列出的文件被保存到同一C&C服务器的不同文件夹，使用机器名对应用户名字符串。



“Confucius”网络犯罪团伙过去曾使用几个文件窃取工具对巴基斯坦军队进行网络间谍攻击。开发者在创建恶意文件时使用创新技术，其中一些技术包括使用加密文件来防止自动分析，或将有害代码隐藏在评论部分。



https://www.cnbeta.com/articles/tech/1169135.htm

wwwab

SHA256

Detection name

dacf7868a71440a7d7d8797caca1aa29b7780801e6f3b3bc33123f16989354b2

Trojan.W97M.CONFUCIUS.A

0f6bcbdf4d192f8273887f9858819dd4690397a92fb28a60bb731c873c438e07

Trojan.W97M.CONFUCIUS.B

508bcc1f3906f5641116cde26b830b43f38f9c68a32b67e03a3e7e3f920b1f4a

Trojan.W97M.CONFUCIUS.B

654c7021a4482da21e149ded58643b279ffbce66badf1a0a7fc3551acd607312

Trojan.W97M.CONFUCIUS.C

712172b5b1895bbfcced961a83baa448e26e93e301be407e6b9dc8cb6526277f

Trojan.Win32.DLOADR.TIOIBELQ

@hsks 我没空，快来收集下发样本区

hsks

wwwab 发表于 2021-8-21 17:05
SHA256

Detection name

Confucius是APT组织
没时间