#APT-Q-27 (?)

显示全部楼层 · 发表于 2022-6-9 14:39:40

https://funami.lanzoub.com/iYGN8064w3ta

显示全部楼层 · 发表于 2022-6-9 15:09:06

swizzer 发表于 2022-6-9 06:53
所以我标了个问号...

我做出这个推测的依据是Payload中不变的那个template.txt，以及一如既往的传播链 ...

我持怀疑态度。目前能确认的金眼狗水坑只有telegram-cn那个有效数签的Adobe_AIR.dll白加黑。其他只能说相关或者高度相关。因为APT这类除了需要考虑代码相似度，还要考虑背后actor是否真的是同一批人还是仅仅共享了代码。没有企业级的情报量很难确认。。。

显示全部楼层 · 发表于 2022-6-9 14:45:06

本帖最后由 aboringman 于 2022-6-9 15:11 编辑

杀毒（监控）：1（本地QVM）

2022-06-09 14:44:29 恶意软件(QVM31.1.BF1F.Malware.Gen)MD5:faf66f5623896af5c0e0f0bed036b352 已删除此文件，如果您发现误删，可从隔离区恢复此文件。 d:\360极速浏览器x下载\payload\python22.dll

复制代码

卫士再补一刀（刚才忘记扫其他的了，下意识觉得会寄（）

com

显示全部楼层 · 发表于 2022-6-9 14:46:02

卡巴扫描杀txt

事件: 检测到恶意对象
用户: CONCISE-B0U5FI4\Mr_Kitty
用户类型: 活动用户
应用程序名称: Bandizip.exe
应用程序路径: C:\Program Files\Bandizip
组件: 文件反病毒
结果说明: 检测到
类型: 木马
名称: Trojan.Win32.Shelma.inn
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: template.txt
对象路径: C:\Users\Administrator\Downloads\Distrovia\Payload
MD5: AD32D62710547166E3787A5027D058ED
原因: 数据库
数据库发布日期: 今天，2022/6/9 10:46:00

显示全部楼层 · 发表于 2022-6-9 14:48:22

管家 1x，杀txt

显示全部楼层 · 发表于 2022-6-9 14:48:40

本帖最后由红豆有绿豆于 2022-6-9 14:51 编辑

Mr_Huang 发表于 2022-6-9 14:46
卡巴扫描杀txt

事件: 检测到恶意对象

把bandizip当同伙了

显示全部楼层 · 发表于 2022-6-9 14:49:26

这个是奇安信内部的tracking ID，到底是不是只能他们自己确认。。。
只能说都用了nsjdhmdjs[.com，我觉得高概率是同一个campaign

显示全部楼层 · 发表于 2022-6-9 14:50:15

红豆有绿豆发表于 2022-6-9 14:48
把bandizip当同伙了

日志记录只是说Bandizip是访问这个文件的程序，不是说把Bandizip杀了

显示全部楼层 · 发表于 2022-6-9 14:51:36

Hibike 发表于 2022-6-9 14:50
日志记录只是说Bandizip是访问这个文件的程序，不是说把Bandizip杀了

咳咳咳
我点错表情了，应该是

所以我是开玩笑的~~

显示全部楼层 · 发表于 2022-6-9 14:53:20

Jirehlov1234 发表于 2022-6-9 14:49
这个是奇安信内部的tracking ID，到底是不是只能他们自己确认。。。
只能说都用了nsjdhmdjs[.com，我觉得 ...

所以我标了个问号...

我做出这个推测的依据是Payload中不变的那个template.txt，以及一如既往的传播链（虚假语言包）

不过dll文件倒是变了，以前还是加NoobyProtect这种强壳，这次是upx

显示全部楼层 · 发表于 2022-6-9 14:58:15

swizzer 发表于 2022-6-9 14:53
所以我标了个问号...

我做出这个推测的依据是Payload中不变的那个template.txt，以及一如既往的传播链 ...

反正卡巴斯基压缩包扫描未报

[病毒样本] #APT-Q-27 (?)

评分

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块