记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

国外安全研究人员在社交网站发现疑似某APT组织的后台

2019-10-31 13:10

事件追踪

近日,深信服安全团队关注到,国外安全研究人员Misterch0c在twitter上发现疑似某APT组织的后台,时间节点在2019年10月27日。

图片1.png

28日,另外一名安全研究员跟推,指出有部分中国用户被控制。

图片2.png

关于此次事件的重要C2服务器lmhostsvc.net,深信服安全云脑威胁情报显示,只有极少数的访问记录,访问时间在2019年10月29号,并非关键核心部门,是一些学院性质的学校,疑似是twitter曝光lmhostsvc.net后,一些在校安全研究人员在研究和访问。

图片3.png

样本分析

该次事件所关联的样本母体是一个.msi文件,这个病毒以钓鱼邮件附件的方式分发到被攻击的目标。病毒运行后,会弹出一个提示框提示用户等待安装,来以掩盖背后的恶意行为。

图片4.png

该msi会释放主程序audiodq.exe,该程序的主要功能为发送主机信息及接收C&C端下发的组件,如下图所示,regdl.exe和MSAServices.exe即为下发的后门组件。

图片5.png

各组件功能如下:

捕获.PNG

MSAServices.exe是一个.NET编写的后门,反编译后,其核心功能如下,主要为:文件操作、进程管理、远程执行命令。

图片6.png

最后,从监控到的流量可以发现,中招主机上线URL形如:

http://lmhostsvc.net/healthne/accept.php?a=MT&b=MT&c=Windows 7 Ultimate&d=G4rb3nG4rb3n53be9afe-e736-4104-8f32-fce8324c70e8365536040965860&e=

图片7.png

如若转载,请注明原文地址: http://www.hackdig.com/10/hack-56585.htm
知识来源: https://www.4hou.com/system/21302.html

阅读:25975 | 评论:0 | 标签:系统安全

想收藏或者和大家分享这篇好文章→复制链接地址

“国外安全研究人员在社交网站发现疑似某APT组织的后台”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云