Fake flash BountyGlad x1

anthonyqian

来自大圣。

VT 2/67，ESET VT上报壳，实机 LiveGuard 杀。

https://cowtransfer.com/s/c6a056ec78674d

2 月份，一个带有中文标识符的 APT 入侵了蒙古的一家证书颁发机构，并用恶意下载程序替换了数字证书管理客户端软件。研究人员以 BountyGlad 的身份跟踪这个组织的活动，相关基础设施被识别并用于其他多个事件，比如对香港 WebSphere 和 WebLogic 服务的服务器端攻击；在客户端，木马化 Flash Player 安装程序。通过这次供应链攻击，该组织展示了其复杂的战略性攻击特征。虽然在像证书颁发机构这样的高价值网站上更换合法安装程序需要中等水平的技能和协调，但其技术复杂程度与 ShadowHammer 不相上下。虽然该组织部署了相当有趣但简单的隐写术来掩盖其 shellcode，但研究人员认为它可能是使用多年来公开可用的代码生成的。在 2020 年期间，先前与该组织相关的活动也严重依赖鱼叉式网络钓鱼和 Cobalt Strike。一些活动涉及 PowerShell 命令和加载程序变体，与研究人员最近报告中提供的下载程序不同。除了鱼叉式网络钓鱼外，该组织似乎还依靠公开可用的漏洞来渗透未打补丁的目标系统。他们使用植入程序和 C2（命令和控制）代码，这些代码是公开可用的和在多个讲中文的 APT 之间私下共享的组合。研究人员能够跨多个事件连接基础设施。其中一些重点是 2020 年的西方目标。 BountyGlad 也使用了 2020 年 5 月发布的 FBI Flash警报中列出的一些基础设施，这些基础设施针对的是进行 COVID-19 研究的美国组织。

lvzhiwei

360安全卫士极速版扫描miss，智量扫描miss，catchpulse解压自动发现1X

日邢一珊

swizzer

主防杀。

但是将衍生物恢复原位置后双击衍生物，主防与内存防护均无反应。

@智量官方

lvzhiwei

日邢一珊 发表于 2022-5-11 18:40

哟，你也在用这个了

琳辰

WiseVector blocked.

627b7a13e4b0d5c47958d2e3.exe - WIBD:HEUR.Trojan.FB
1FTk3Imr.exe - WIBD:HEUR.Trojan.FB

纽盖特

正在对一个可疑对象进行沙盒分析。结果很快就会公布。

761773275

毛豆EDR检测

anxiety520

卡巴UDS:Backdoor.Win32.BountyGlad

Hibike

不妙（