查看: 1387|回复: 2
收起左侧

[安全行业] 巴基斯坦军方被名叫“Confucius ”的黑客组织用Pegasus引诱为目标

[复制链接]
朦胧的风
发表于 2021-8-21 16:22:46 | 显示全部楼层 |阅读模式
网络安全公司趋势科技(Trend Micro)发现了名叫Confucius的网络犯罪团伙最近进行的恶意活动。黑客们利用臭名昭著的以色列Pegasus(飞马恶意软件)诱饵发起了一场钓鱼活动,欺骗用户点击下载数据盗窃代码的恶意文件。

攻击以一封干净的电子邮件开始,其中包含从巴基斯坦合法报纸文章中复制的文字。两天后,受害者收到一封新的电子邮件,其中包含冒充巴基斯坦军方官员关于PegASUS间谍软件的警告,其中包括一个cutt.ly链接到加密的Word文档和一个解密密码。

fd9c3fa2e821f38.jpg

无论受害者采取什么行动,点击其中任何一个链接都会下载Word文档。如果目标人物输入了电子邮件中的密码,电脑屏幕上就会出现一个带有宏的文档。如果该特定机器上启用了宏,下一步就是简单地加载恶意代码。一个名为skfk.txt的.NET DLL文件就会在临时目录中被创建,该文件包含文档注释栏的材料。PowerShell被用来将该文件加载到内存中,并用于窃取数据。

b004b250ec89fcd.jpg

简单地说,当列出的扩展名的MD5哈希值匹配时,该文件就会通过C&C服务器被检索出来。没有列出的文件被保存到同一C&C服务器的不同文件夹,使用机器名对应用户名字符串。

187f2d309468f9a.jpg

“Confucius”网络犯罪团伙过去曾使用几个文件窃取工具对巴基斯坦军队进行网络间谍攻击。开发者在创建恶意文件时使用创新技术,其中一些技术包括使用加密文件来防止自动分析,或将有害代码隐藏在评论部分。

f41ed297bf0b792.jpg

https://www.cnbeta.com/articles/tech/1169135.htm

wwwab
发表于 2021-8-21 17:05:04 | 显示全部楼层
SHA256

Detection name

dacf7868a71440a7d7d8797caca1aa29b7780801e6f3b3bc33123f16989354b2

Trojan.W97M.CONFUCIUS.A

0f6bcbdf4d192f8273887f9858819dd4690397a92fb28a60bb731c873c438e07

Trojan.W97M.CONFUCIUS.B

508bcc1f3906f5641116cde26b830b43f38f9c68a32b67e03a3e7e3f920b1f4a

Trojan.W97M.CONFUCIUS.B

654c7021a4482da21e149ded58643b279ffbce66badf1a0a7fc3551acd607312

Trojan.W97M.CONFUCIUS.C

712172b5b1895bbfcced961a83baa448e26e93e301be407e6b9dc8cb6526277f

Trojan.Win32.DLOADR.TIOIBELQ

@hsks 我没空,快来收集下发样本区
hsks
发表于 2021-8-21 17:17:00 | 显示全部楼层
wwwab 发表于 2021-8-21 17:05
SHA256

Detection name

Confucius是APT组织
没时间
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-6 05:23 , Processed in 0.123179 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表