伪装成蓝队,以某擎RCE漏洞为诱饵,在github上发布投毒项目。
项目地址:https://github.com/FuckRedTeam/360tianqingRCE
思路:
IOC:http://i.miaosu.bid/data/f_35461354.png下载图片进行解码
关联信息:
处置建议:
伪装成蓝队,以某达OA EXP为诱饵,在github上发布投毒项目
项目地址:https://github.com/safexz/2022hvv0day (已作废)
木马C2:43.129.158.31
URL:http://43.129.158.31:5555/wc1R
http://43.129.158.31:5555/cm
项目地址:https://github.com/fofahub/fofahubkey
描述:项目中的docx文件,使用了canarytokens做了信标的,用于获取打开文件用户的IP地址。(红蓝谁给谁下的套?)
回传地址:http://canarytokens.com/terms/articles/ayz4tfaqbetnwn1pz1gmqspi3/post.jsp
木马邮件岗位职级调薪说明.zip)
hash:EDD53D56A61639039D9095BD71A0ADB9
文件名:岗位职级调薪说明.zip
hash:993EC0A31D8B7B9ABF16F04BF75672BA
文件名:岗位职级调薪说明.pdf.lnk
hash:FBBA1AD1342DB932FF94F2ED99185139
文件名:aaa.bat
释放路径: C:ProgramData
hash:D2FA324A84502E98D00E2EB8E948693F
文件名:hpqhvind.exe
hash:DB005067D03832E6504580DCE9A206AD
文件名:hpqhvsei.dll
hash:6594DFDA2215437299C3B35F194755B6
文件名:log.bin
行为主要是白文件hpqhvind.exe加载黑dll:hpqhvsei.dll,黑dll进程镂空后载入log.bin的内容,log.bin为cs的dns stageless payload
C2域名:qianxin.dns-detect.com
还包含一下几种钓鱼情况,注意提供警惕
内容来源:https://www.cnsrc.org.cn/hw/1911.html
温馨提示:若该资源侵犯了您的权益,请联系我们处理。
原文始发于微信公众号(释然IT杂谈):【情报】HW期间警惕投毒&钓鱼!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论