主要针对学术界的STOLEN PENCIL攻击活动
STOLEN PENCIL活动主要针对学术界,许多大学的受害者都拥有生物医学工程专业知识,这可能表明了攻击者瞄准的动机。
攻击来源为朝鲜,攻击方式为发送鱼叉式网络钓鱼电子邮件,打开后会将其引导至显示诱饵文档的网站,该网站通过JS,会并立即提示安装恶意Google Chrome扩展程序。(chrome插件是刷的评分)
恶意Chrome扩展程序声明了在浏览器中的每个URL上运行的权限
一旦获得立足点,攻击者就会使用现成的工具来确保持久性,包括远程桌面协议(RDP)以维持访问。(不用远控后门)
具体如下:
1、将键盘操作记录到%userprofile%\ appdata \ roaming \ apach.{txt,log},还可以用作“cryptojacker”,用0x33883E87807d6e71fDc24968cefc9b0d10aC214E替换以太坊钱包地址。此以太坊钱包地址目前具有零余额且无交易。
(就是类似之前替换钱包地址偷数字货币的那些案例)
2、添加具有特定用户名/密码的Windows管理员帐户并启用RDP的工具,可以绕过任何防火墙规则。我们观察到以下用户名/密码组合列表,不知道为什么都带有“1215”:
localadmin / Security1215!
dieadmin1 / waldo1215!
DNSADMIN / waldo1215!
DefaultAccounts / Security1215!
-
defaultes / 1qaz2wsx#EDC
除了使用RDP之外,在某次行动中还打包了一个zip压缩包,内含工具如下
使用工具列表如下
之后会通过从各种来源(如进程内存,Web浏览器,网络嗅探和键盘记录程序)中获取密码来维护访问持续性。
并且攻击者注册了大量仿造网站,用以钓鱼,网站上会加载JS,可能用于目标筛选
域名如下
client-message[.]com
world-paper[.]net
docsdriver[.]com
grsvps[.]com
coreytrevathan[.]com
gworldtech[.]com
下图完美的阐述了这一切,来自友人,不是原图文
相关链接
https://asert.arbornetworks.com/stolen-pencil-campaign-targets-academia/
告别安全界:网络犯罪组织ZOMBIE SPIDER和Kelihos僵尸网络谢幕
网络犯罪组织ZOMBIE SPIDER,主谋在接管Kelihos僵尸网络后被抓,从此该僵尸网络将被终结束。该犯罪组织主谋似乎与俄罗斯政府有某种联系,特别关注他们对其他民族国家的网络行动,并且还帮助俄罗斯相关部门进行网络安全人才招聘。
值得一提的是,Kelihos僵尸网络已经换了好几届主人了。
ZOMBIE SPIDER背后的主要威胁演员是Peter Yuryevich LEVASHOV。他使用了绰号Peter Severa或Severa。Levashov是几个俄罗斯地下论坛的成员,他在那里宣传他的产品并表达了他的意见。Levashov使用的化身是一个类似龙的角色
Kelihos僵尸网络主要通过分发垃圾邮件传播,其感染目标设备后会进行,u盘传播,挖矿,ftp**等操作进行进一步传播,并且内置垃圾邮件引擎,类似邮件蠕虫。其具有其他僵尸网络该有的一切功能。
Kelihos在路由器节点上托管了SOCKS5代理服务,并且利用WinPcap库来窥探主机的网络流量,搜索明文协议HTTP,FTP,POP和SMTP。捕获通过路由器节点泄露到工作服务器(也就是其他节点)的凭据。
诱饵网站类似下图
其中该恶意软件疑似由一名为Andrey SABELNIKOV的俄罗斯人制作,恶意软件中非恶意部分大多数代码和以下工程重合
https://github.com/sabelnikov/epee
由于已经被抓,所以看看细节学习一下就好,但目前该僵尸网络还是由部分受害者主机仍然在被感染,不过由于没有主控所以危害不大(flag)
相关链接:
https://www.crowdstrike.com/blog/farewell-to-kelihos-and-zombie-spider/
关注公众号并回复:london blue 或londonblue
即可获取前日的详细的londonblue黑产组织报告
更多精彩,请见知识星球
扫一扫,精彩等你来