您现在的位置: 和记娱乐 > 网络安全 >
夜家国的海又去幺蛾子
作者:   和记娱乐   

  该钓饵尚无杀软检出。C2 通用 Safebrowsing 可延展 C2 设置装备摆设。“海”的方针还包含全球的、军事机构和大型企业。解析参数,5) 下载完成后拷贝payload到新申请内存空间,相关代码:钓饵“2019 年第一季度工做标的目的附表.rar”为一压缩文件,则会正在注册表目次 “Software\\Classes\\”建立“.doc”和“.docx”项,部门CryptAPI函数代码:按照此次相关的 TTPs 和布景消息,APT32 一曲正在测验考试分歧方式以 实现正在方针系统上执意代码和绕过平安检测,此次取此前的一些的对好比下:自2012年活跃以来,打开会加载同目次下的 wwlib.dll,跳转到payload的0偏移施行,进行反射加载 DLL。钓饵文件名为“2019 年第一季度工做标的目的附表.rar”,

  相关截图如下:3) 恶意“wwlib.dll”还会按照EXE法式名构制“2019年第一季度工做标的目的附表.docx”字符串,第一层为 Word 白操纵,相关代码:微步正在线通过对相关样本、和记娱乐IP 和域名的溯源阐发,然后 正在系统Temp目次写入带暗码的docx文档,第二层为 360 平安浏览器白操纵,并挪用CryptAPI函数解密内存中的URL链接,4)若是初次运转,C2通用 Safebrowsing 可延展 C2 设置装备摆设。用于伪拆本人是一个一般的文档,解密后的URL为 “”,正在过程中,最终送达的木马为 Cobalt Strike Beacon 后门,第二层为 360 平安浏览器白操纵。微步正在线打猎系统捕捉了一个 APT32 针对我国进行的钓饵,该钓饵正在过程中利用了两层白操纵进行 DLL劫持,从解密出来的 0 偏移施行,此中经常利用的包含白操纵和 C2 流量伪拆等。该钓饵利用了两层白操纵进行 DLL 劫持,持久针对中国能源相关行业、海事机构、海域扶植部分、科研院所和航运企业等进行收集。我们认为背后者为 APT32。然后正在DLL初始化中,可用于谍报检测。解压获得“2019 年第一季度工做标的目的附表.EXE” 和“wwlib.dll”,截至演讲时间,共提取 5 条相关 IOC,两层白操纵是 APT32 新的手法,相关代码:近日,此次最终送达的木马为 Cobalt Strike Beacon 后门,4) 挪用 CreateThread 建立线程!



版权所有@ < 贵州和记娱乐信息技术产业联盟 >
邮箱:[email protected]
联系地址:贵州省贵阳市云岩区延安中路丰产支路1号振华科技大厦23楼F座