TAG:高级可持续攻击、危险密码、Lazarus、中国、NHT Global、UMKC、金融
TLP:白(报告转发及使用不受限制)
日期:2020-08-24
-
本批次鱼叉式网络攻击事件中,投递载荷均为Lnk文件,在自释放(或通过谷歌在线文档下载)诱饵文档后,远程下载执行具有后门功能的javascript恶意代码。 -
使用的诱饵文件包括中文类型的“奖金计划(2020年7月).docx”、“奖金计划(2020年8月).docx”以及“Project Management Plan.pdf”等。相关企业包括然健环球(中国)日用品有限公司(NHT Global)、美国密苏里大学堪萨斯分校(UMKC)。推测本次攻击时间段为2020年6月下旬至今。 -
微步在线威胁检测平台(TDP)、威胁情报管理平台(TIP)、DNS防火墙(OneDNS)、威胁情报云API均已支持该团伙最新攻击的检测。如需协助,请与我们联系:[email protected]。
托管于谷歌在线文档的诱饵文档内容如下所示。文档主题为然健环球(中国)日用品有限公司相关的奖金计划。
用户PC端下载后展示如下:
样本分析
整体执行流程与历史披露的攻击事件中的流程基本一致。后续C&C服务器下发插件当前暂未捕获,可参考微步在线2019年11月发布的独家披露报告。
关联拓线
1. 样本维度关联
通过lnk文件结构中用于标识文件生成的机器平台MachineID进行拓线关联。
| 样本名称 | Hash | 下载URL | 真实域名 |
| Project Management Plan.pdf.lnk | 0d79b66f41858a336a385a7f6cc9e4e2fa06097b0ec422ce2d18bc6eabe5afee | https://bit.ly/2Bsovmg | drop.trailads.net |
| Project Management Plan.pdf.lnk | d287388e5ff978bf6f8af477460a9b76a74fdc33535e392b70e58176fc9ad805 | https://bit.ly/3eIxLAZ | drop.trailads.net |
| 奖金计划(2020年8月).docx.lnk | effd76c58906877364ad6c62ff7d8d711c83b78306e31350610a14b6610cdf1e | https://bit.ly/3aCBejA | shop.newsbtctech.com |
| Password.txt.lnk | ca7e5275bf45970688d3b42424f5a130d59bef2f15993b95f6438eaa37a7801f | https://bit.ly/2tsXyue | share.onedrvfile.site |
2. 网络资产拓线
3. 同期,芬兰安全公司F-Secure对危险密码APT组织追踪发现,Javascript后门在后续会通过一段C&C下发的powershell下载最终的二进制木马,木马与卡巴斯基曾披露的Bluenoroff(Lazarus组织的一个分支)组织所使用的特马高度相似,由此可以推测,微步在线所披露的“危险密码”APT组织与Bluenoroff组织存在一定关联,结合其特定的攻击目标、攻击目的来看,危险密码”APT组织极有可能为Lazarus APT组织的一个分支机构。
原文始发于微信公众号(安全威胁情报):“危险密码”APT组织 炎炎夏日再活跃
![[业界] "汉芯造假"与黄禹锡干细胞造假的比较研究-微慑信息网-VulSee.com](http://news.ccidnet.com/col/attachment/2006/5/698387.jpg)
![[八卦] 王婷婷—揭秘一个大三女生的性爱录像-微慑信息网-VulSee.com](http://free.86hy.com/crack/pic/1.jpg)
![[随笔]今天国际警察节-微慑信息网-VulSee.com](http://photo.sohu.com/20041017/Img222528326.jpg)
青云网
