• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

黑客利用恶意软件攻击记者


Recommended Posts

据报道,与朝鲜政府有联系的黑客组织正在广泛使用一种名为Goldbackdoor的新型恶意软件来攻击记者。这种攻击涉及多个感染阶段,其最终目标是窃取目标的敏感信息。研究人员发现,攻击始于今年3月,目前正在进行中。

楼梯间的研究人员跟进了韩国NK News的一份初步报告,该报告显示,一个名为APT37的朝鲜APT组织从一名前韩国情报官员的个人电脑中窃取了信息。报道称,这名攻击者又名跳弹科利玛(Ricochet Collima)、InkySquid、Reaper或ScarCruft,曾试图冒充NK News,并试图传播一种新型恶意软件。

NK新闻将这些细节传递给了楼梯间,以便进一步调查。这家网络安全公司的研究人员发现了Goldbackdoor恶意软件的详细信息。根据他们上周末发布的一份报告,该恶意软件可能是由蓝光恶意软件开发商开发的。

研究人员写道,金色后门恶意软件和蓝光恶意软件使用许多相同的技术。这些技术的巧合,很可能是开发者之间开发资源的共享。我们可以有很好的理由将Goldbackdoor归因于APT37。

去年8月,在一系列针对韩国报纸机构的攻击中,APT37使用Bluelight作为其有效载荷,并且在这些攻击中,使用了Internet Explorer的已知漏洞。

正如《楼梯间》的研究人员指出的那样,记者目前是“敌对政府的首选目标”,也经常是网络间谍攻击的目标。事实上,去年最大的安全事件之一是政府利用非政府组织的Pegasus间谍软件攻击记者和其他目标。

《楼梯间》的研究人员写道:“许多重要文件经常存储在记者的设备中。有时候还包括很多敏感信息。攻击记者可以获得高度敏感的信息,也可以对其消息来源进行额外的攻击。

多阶段的恶意软件

研究人员写道,当前的攻击始于3月18日,当时NK News和楼梯间威胁研究小组研究了一些恶意文件,这些文件来自专门针对朝鲜记者的鱼叉式网络钓鱼活动。这些信息来自朝鲜国家情报局(NIS)前局长的个人电子邮件。

他们写道:“其中一个文件是新的恶意软件样本。我们将其命名为Goldbackdoor,这是一个基于嵌入式工件开发的文件。

根据研究人员的说法,Goldbackdoor是一种多阶段感染的恶意软件。它将第一阶段的工具与最终的有效载荷分离,可以使威胁攻击者在最初的目标被感染后停止恶意文件的部署。

他们在报告中写道,这种设计可能会限制研究人员对有效载荷的分析和研究。

这种恶意软件和之前的蓝光一样,将使用云服务提供商的基础设施从攻击者那里接收命令和窃取的数据。研究人员分析的样本使用了微软OneDrive和Graph APIs,而另一个确认的SHA256哈希样本使用了Google Drive。

研究人员表示,攻击者在恶意软件中嵌入了一组API密钥,可以用来验证微软的云计算平台Azure,并检索和执行相关命令。

他们写道,Goldbackdoor为攻击者提供了远程命令执行、文件下载/上传、键盘记录和远程卸载等基本功能。该功能的设置与蓝光密切相关。然而,Goldbackdoor功能增加的重点是文件收集和键盘记录。

第一阶段

Goldbackdoor是一种非常复杂的恶意软件,研究人员将其感染过程分为两个阶段。第一阶段,受害者必须从受损网站下载一个ZIP文件,URL : https [3360]//main [。] dailynk [。] us/regex?id=otks 2 file=Kang Min-CHOL edits 2 . zip .研究人员表示,域名dailynk[。]us很可能被选择用来冒充NK新闻(dailynk[。]com),而APT37在之前的攻击中已经使用过。

楼梯间研究人员从网站的DNS历史中检索ZIP文件进行分析,当他们调查时,网站已经停止解析。他们发现该文件创建于3月17日,包含一个282.7MB的Windows快捷文件LNK,其文件名为Kang Min-chol Edits,可能指的是朝鲜矿业部长Kang Min-chol。

研究人员写道:“攻击者将这个快捷方式伪装成一个文件,他们使用了微软Word的图标,并添加了类似于Word文档的评论。"

他们还在LNK文件中填充了0x90字节,即nop/no operation,人为增加了这个文件的大小,他们说这可能是一种保护措施,以防止文件被上传到检测服务或恶意软件库。

研究人员表示,一旦开始执行,LNK文件将执行一个PowerShell脚本,该脚本将打开

始Goldbackdoor的部署过程之前创建并打开一个诱饵文件。

第二阶段

在部署诱饵文件后,PowerShell脚本会解码第二个PowerShell脚本,然后将下载并执行存储在微软OneDrive上的名为 "Fantasy"的shellcode有效载荷。

研究人员说,"Fantasy" 有效载荷是该恶意软件攻击的第二阶段,同时也是部署Goldbackdoor软件过程的第一部分。这两部分都是以独立的代码(shellcode)编写的,其中包含了一个嵌入式有效载荷,并使用进程注入技术来部署恶意软件。

研究人员说,Fantasy解析和解码有效载荷的过程,会使用VirtualAllocEx,WriteProcessMemory和RtlCreateUserThread等标准进程,在先前创建的进程下生成一个线程,然后执行它。

最后的攻击手段是使用一个shellcode有效载荷,并且该线程会在Fantasy创建的进程中运行,执行恶意软件的最终部署。

研究人员写道,这个阶段交付的有效载荷其实是一个Windows可执行文件。

  • Like! 1
Link to comment