疑似中国台湾方向相关组织近期攻击活动分析 – 作者:安恒威胁情报中心

1.摘要

近期,威胁情报中心监测到伪装文档的攻击样本,伪装内容与“检察院裁决书”、“台资交账”等,核心远控程序使用了开源AsyncRAT远控,通过分析样本后发现,回连域名解析IP为中国台湾地区。

2.恶意程序分析

我们捕获到“李娟.Docx.exe”,“黃.exe”等多个伪装为word图标或内容的恶意程序。

1981cf7b72b71ed29932cf81181765da-sz_16130.png

以“李娟.Docx.exe”

(32f8b3e8d4c0c89ac03192ef9db6d1e2)为例进行分析,样本伪装为word图标,为C#编写的Loader程序,

2dad8233d2524a7ab29d027876bc9e9f-sz_85420.png

样本会释放bat脚本和伪装文档到temp目录,执行bat并打开伪装文档,

图片[3]-疑似中国台湾方向相关组织近期攻击活动分析 – 作者:安恒威胁情报中心-安全小百科

文档伪装内容为检察院裁判公告,

f91f5412800263448f43f7954699b4b6-sz_613851.png

文档属性信息中可以看到最后修改时间为2020年10月14日,及文档内容中出现的时间可以说明是近期出现的攻击活动。

8e203d96db22a23d145e973114a92804-sz_34476.png

Bat程序会执行powershell,

c74a7866cb94a612c148fe0920f9b346-sz_50498.png

Powershell会访问远程内容加载执行,远程内容被放置在minpic[.]de上,远程地址为

https://www.minpic[.]de/k/b33p/nmy0x/

图片[7]-疑似中国台湾方向相关组织近期攻击活动分析 – 作者:安恒威胁情报中心-安全小百科

内容为最终载荷,C#开源远控程序AsyncRAT。

111d06bd665f24ad8087f99f91929484-sz_73178.png

回连到andy1688.ddns[.]net。

ad2045ea7255bea91df6ac7ca946c9ad-sz_13291.png

另外伪装为word图标的“黄.exe”的伪装文档内容也为检察院裁决书相关。

图片[10]-疑似中国台湾方向相关组织近期攻击活动分析 – 作者:安恒威胁情报中心-安全小百科

“更換新S-docx.exe”程序伪装文档内容为检察院拘捕令。

504d96fbc267afdf70b2c04fe7226865-sz_1462165.png

Image.exe程序,伪装为图片内容与“资金洗钱”相关。

图片[12]-疑似中国台湾方向相关组织近期攻击活动分析 – 作者:安恒威胁情报中心-安全小百科

最终载荷也使用了AsyncRAT。

3.总结

当前,处于较为紧张的局势状态,此批捕获到的样本高度可疑,需引起重视。

安恒威胁情报中心依托核心数据能力,提供威胁情报数据,威胁情报检测等专业能力。

4.IOC

32f8b3e8d4c0c89ac03192ef9db6d1e2

45af1843f7d26ef2fe41ca447fcaa8a2

60a763d7a45adfb76cab058765a38994

0edb41acc19b43a6fca9ec0299a1e495

633462867d0371745692a62c96dcfddf

de312dc399c6861874bd828ff65be880

2120e702d60bf4c8b73e9cc898682a34

e832269f556af0c2343a7b10d4882525

7424c0241b2e88c4b2cefa14f9646341

c9cf97cd924c62325c623a7c74ad9dc0

c05de8d42b847e1956741c2579a54027

3fababcd18fd8a986676ea55cdc16d14

4f6c0849b1ec07b84eb1fccbdc3a7d2d

53f3a5d5989e66e323a2e887865b100c

57c05e7dc30fa660fbe7aaa1a660799c

6e5629dc23e884cbe202e0bd33334a9c

54aa0b147daedae52e1ae07a85aa430d

953d45534349a9c3ce2eeb3f43da4eb9

c50748b4f8ef1ad46044de5fe49cbae0

c3e2758dc78fe4c04cf9c469bb1d023d

05d2450b18bfe230c118653700dc503d

834be313665b88c7315e74c7f2179d25

6b745df2a6227c5898dc1490babd1841

8ef5c3930ef7ccec2862a765e992fdfd

2f404e225bdc919bd4cf407ce1a3b2bd

2748cfb72696852c00c381e53a14342f

andy1688.ddns[.]net

123.240.122[.]235

123.110.29[.]249

来源:freebuf.com 2020-10-28 14:04:53 by: 安恒威胁情报中心

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论