【情报】HW期间警惕投毒&钓鱼!

admin 2022年7月26日14:09:25HW&HVV评论90 views1437字阅读4分47秒阅读模式

一、伪装QAX某擎EXP的木马:


伪装成蓝队,以某擎RCE漏洞为诱饵,在github上发布投毒项目。

项目地址:https://github.com/FuckRedTeam/360tianqingRCE

【情报】HW期间警惕投毒&钓鱼!

思路:

伪装包,伪装包名:fake_useragant(正常包名为:fake_useragent),加载base64编码的shellcode,截取图片中的字符串,落地免杀exe木马

【情报】HW期间警惕投毒&钓鱼!

IOC:http://i.miaosu.bid/data/f_35461354.png下载图片进行解码


C2:https://47.106.185.79:60000/#/user/login 使用的是Viper

关联信息:

安卓木马:
ca00ff045b9e8e7e2a9b2eb04cf6e40641a5657ee01925b6f2048c7deb1373f6
通信C2:http://i.miaosu.bid/includes/fileReceive.php

处置建议:

1、 切勿轻信网络传播所谓的安全检测脚本/工具,防止被黑客利用。
2、 根据威胁情报,排查网络中是否再存失陷情况。

二、伪装某达OA EXP的木马:

伪装成蓝队,以某达OA EXP为诱饵,在github上发布投毒项目

项目地址:https://github.com/safexz/2022hvv0day (已作废)

【情报】HW期间警惕投毒&钓鱼!

木马C2:43.129.158.31

URL:http://43.129.158.31:5555/wc1R

http://43.129.158.31:5555/cm

三、信息收集:

项目地址https://github.com/fofahub/fofahubkey

【情报】HW期间警惕投毒&钓鱼!

描述:项目中的docx文件,使用了canarytokens做了信标的,用于获取打开文件用户的IP地址。(红蓝谁给谁下的套?)

【情报】HW期间警惕投毒&钓鱼!

回传地址:http://canarytokens.com/terms/articles/ayz4tfaqbetnwn1pz1gmqspi3/post.jsp


四、木马钓鱼邮件


木马邮件岗位职级调薪说明.zip

hash:EDD53D56A61639039D9095BD71A0ADB9
文件名:岗位职级调薪说明.zip

hash:993EC0A31D8B7B9ABF16F04BF75672BA
文件名:岗位职级调薪说明.pdf.lnk

hash:FBBA1AD1342DB932FF94F2ED99185139
文件名:aaa.bat


释放路径: C:ProgramData

hash:D2FA324A84502E98D00E2EB8E948693F 

文件名:hpqhvind.exe 

hash:DB005067D03832E6504580DCE9A206AD 

文件名:hpqhvsei.dll 

hash:6594DFDA2215437299C3B35F194755B6 

文件名:log.bin

【情报】HW期间警惕投毒&钓鱼!

行为主要是白文件hpqhvind.exe加载黑dll:hpqhvsei.dll,黑dll进程镂空后载入log.bin的内容,log.bin为cs的dns stageless payload

C2域名:qianxin.dns-detect.com

还包含一下几种钓鱼情况,注意提供警惕

【情报】HW期间警惕投毒&钓鱼!

内容来源:https://www.cnsrc.org.cn/hw/1911.html

温馨提示:若该资源侵犯了您的权益,请联系我们处理。

【情报】HW期间警惕投毒&钓鱼!

【情报】HW期间警惕投毒&钓鱼!

【情报】HW期间警惕投毒&钓鱼!

原文始发于微信公众号(释然IT杂谈):【情报】HW期间警惕投毒&钓鱼!

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月26日14:09:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【情报】HW期间警惕投毒&钓鱼! http://cn-sec.com/archives/1201222.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: