原文标题:Analysis of Andariel’s New Attack Activities
原文地址:https://asec.ahnlab.com/en/56405/
翻译:梦幻的彼岸
Andariel 威胁组织通常以韩国公司和组织为目标,据悉与Lazarus威胁组织或其附属组织有关联。自 2008 年以来,已发现针对韩国目标的攻击。主要目标行业是与国家安全有关的行业,如国防、政治组织、造船、能源和通信。韩国的其他各种公司和机构,包括大学、物流和信息通信技术公司,也正在成为攻击目标。 [1] (本报告仅支持韩语版本)
在初始入侵阶段,Andariel 威胁组织通常采用鱼叉式网络钓鱼、watering hole漏洞和供应链攻击。此外,该组织还会在恶意软件安装过程中滥用中央管理解决方案。 [2] 该组织的一个显著特点是在攻击中创建和使用各种恶意软件。有许多后门类型,包括过去攻击中使用的 Andarat、Andaratm、Phandoor 和 Rifdoor,以及 TigerRAT 3 和 MagicRAT [4] 在过去的几年里,已经检测到了这种情况。
AhnLab 安全应急响应中心 (ASEC) 正在持续监控 Andariel 威胁组织的攻击。本博文将介绍最近发现的被认为是由 Andariel 组织实施的攻击的相关细节。请注意,由于在过去的攻击案例中发现的恶意软件变种和 C&C 服务器并未在上述攻击中使用,因此不存在直接联系。因此,为了确定近期攻击与 Andariel 威胁组织之间的联系,本文章将首先分析 Andariel 组织在 2023 年上半年的攻击案例。然后,通过分析找出袭击与该威胁组织之间可能存在的联系。如有必要,还将包括在过去的袭击案例中得到证实的细节。
2023 年发现的攻击有一个特点,即有许多恶意软件是用 Go 语言开发的。在使用 Innorix Agent 的攻击案例中,使用了用 Go 语言开发的反向shell。Black RAT 随后被用于针对韩国公司的攻击。这种趋势一直延续到最近的案例中,用 Go 语言开发的其他恶意软件如 Goat RAT 和 DurianBeacon 也被用于攻击。除了 Go 语言版本外,DurianBeacon 还有一个用 Rust 语言开发的版本。
由于无法直接确定最初的传播案例,本文章将根据攻击中使用的恶意软件菌株进行分析。请注意,攻击中使用的恶意软件类型多种多样。如果可以确认恶意软件制作者给出的名称,则使用该名称。如果无法确认,则将使用类似恶意软件类型的名称或 AhnLab 的检测名称。
1.过去的攻击案例
1.1. 滥用 Innorix Agent 的案例
2023 年 2 月,ASEC 在博文 "利用漏洞 Innorix 的恶意软件的传播 "中分享了 Andariel 威胁组织向使用漏洞版本 Innorix Agent 的用户传播恶意软件的案例: Andariel"。 [5] 被滥用的 Innorix Agent 程序是一个文件传输解决方案客户端程序。根据韩国互联网与安全局(KISA)发布的有关该漏洞的帖子,发现受影响的版本为 INNORIX Agent 9.2.18.450 或更早版本,建议应用安全更新。 [6] (此内容仅支持韩语版本)
根据以往的攻击案例对攻击中使用的恶意软件菌株进行调查后发现,韩国多所大学都感染了恶意软件变种。攻击中使用的大多数恶意软件类型都是后门程序,没有以前发现的类型。不过,由于这些恶意软件与过去使用的其他恶意软件或在随后的攻击中使用的恶意软件存在联系,因此将对它们的特征进行简要概述。
1.1.1. NukeSped 变体 – Volgmer
正如 ASEC 博客之前报道的那样,该恶意软件变种在与 C&C 服务器通信过程中使用以下 0x10 字节密钥加密数据包。美国网络安全和基础设施安全局(CISA)的一份报告指出,该密钥值与隐藏眼镜蛇(Lazarus)威胁组织在 Volgmer 中使用的密钥值相同。 [7] (页面当前不可用)
- Key: 74 61 51 04 77 32 54 45 89 95 12 52 12 02 32 73
Volgmer 也被用于最近的攻击中。它通过读取保存在注册表键值 "HKLM\SYSTEM\CurrentControlSet\Control\WMI\Security "中的配置数据来运行,并使用HTTP协议与C&C服务器进行通信。这些特征与过去 CISA 报告中提到的类型高度相似,这意味着该恶意软件在没有发布重要变种的情况下继续被用于攻击。虽然本文章中提到的恶意软件和 Volgmer 都使用了相同的密钥值,但两者还是有区别的:当前攻击案例中使用的恶意软件使用密钥值对用于与 C&C 服务器通信的数据包进行加密。与此同时,Volgmer 使用该值来解密保存在注册表中的加密配置数据。
因此,将上述恶意软件变种归类为 Volgmer 的一种并不完全准确,因此将其归类为 NukeSped 的变种。该恶意软件是一个相对简单的后门程序,只提供基本功能。值得注意的是,自删除过程中使用的批处理脚本与过去 NukeSped 类型中使用的脚本类似。
1.1.2. Andardoor
该恶意软件使用.NET开发,是一个使用TestProgram名称的后门程序。根据 AhnLab 的检测名称,它被归类为 Andardoor。值得注意的是,它使用 Dotfuscator 工具进行了混淆。它提供了控制受感染系统的各种功能,如文件和进程任务、执行命令和截图。与 C&C 服务器的通信使用 SSL 加密。对于服务器名称,它指定了 "clientName "字符串。
1.1.3. 1th Troy 特洛伊反向shell
1th Troy 是一款用 Go 语言开发的反向shell恶意软件。二进制文件中包含的以下字符串显示,该恶意软件的简单名称为 "Reverse_Base64_Pipe",恶意软件的创建者将该恶意软件归类为 "1th Troy"。
G:/Code/01__1th Troy/Go/Reverse_Base64_Pipe/Client/client.go
作为一个只提供基本命令的反向shell,支持的命令包括 "cmd"、"exit "和 "self delete"。它们分别支持命令执行、进程终止和自删除功能。
1.2. 攻击韩国公司的案例
2023 年 3 月,Andariel 集团在针对韩国国防工业和一家电子设备制造商的攻击中也传播了恶意软件。最初的入侵方法尚未确定,但通过 AhnLab 智能防御(ASD)基础设施确认了 mshta.exe 进程安装 TigerRat 和 mshta.exe 进程被终止的日志。这意味着恶意软件变种是通过脚本型恶意软件和鱼叉式网络钓鱼攻击方法安装的。
攻击中使用的恶意软件一般都是后门类型。其中还包括 Andariel 组织过去一直使用的 TigerRat。
1.2.1. TigerRat
TigerRat 是一种 RAT 型恶意软件,由 KISA 命名 [8] 自 2020 年以来,Andariel 威胁组织一直在使用该病毒。据了解,它一般通过鱼叉式网络钓鱼电子邮件中附加的包含宏的恶意文档文件或通过watering hole漏洞攻击进行传播。 [9] Andariel 组织还针对使用 VMware Horizon 漏洞版本的韩国企业发起了 Log4Shell 漏洞攻击,以安装 TigerRat。 [10]
除了提供文件任务和执行命令等基本功能外,TigerRat 还是一个支持收集信息、键盘记录、截图和端口转发等其他各种功能的后门程序。其特点之一是在与 C&C 服务器进行首次通信会话时需要进行身份验证。在过去的版本中,下图所示的字符串被伪装成 SSL 通信用于验证过程。根据恶意软件版本的不同,必须向 C&C 服务器发送字符串 "HTTP 1.1 /member.php SSL3.4 "或 "HTTP 1.1 /index.php?member=sbi2009 SSL3.3.7",并发送字符串 "HTTP 1.1 200 OK SSL2.1 "以换取认证成功。
然而,在最近发现的 NukeSped 类型中,使用了以下大小为 0x20 的随机字符串。这些字符串被认为是 "fool"(dd7b696b96434d2bf07b34f9c125d51d)和 "iwan"(01ccce480c60fcdb67b54f4509ffdb56)的 MD5 哈希值。看来,威胁行为者在验证过程中使用了随机字符串来逃避网络检测。
- C&C request string: dd7b696b96434d2bf07b34f9c125d51d
- C&C response string: 01ccce480c60fcdb67b54f4509ffdb56
1.2.2. Black RAT
Black Rat 是一种后门型恶意软件,很可能是由威胁行为者创建的。与其他恶意软件一样,它是用 Go 语言开发的。上一个案例中发现的 1th Troy Reverse Shell 只支持基本的命令执行功能,而 Black Rat 则提供了许多附加功能,如下载文件和截图。
检查二进制文件中包含的以下字符串可以发现,恶意软件创建者将该恶意软件归类为 RAT 类型,并将其命名为Black.
I:/01Tools/02RAT/Black/ClientGo/Client.go
1.2.3. NukeSped 变体
这次攻击还使用了一个典型的 NukeSped 型后门。支持的功能包括网络扫描、进程和文件查找、文件上传/下载和命令执行。要使用的 API 名称已加密,如下所示。解密后,API 名称将从其他地方获取。解密时使用大小为 0x26 的密钥。
- 用于解密的密钥值: i\<6fu>-0|HSLRCqd.xHqMB]4H#axZ%5!5!?SQ&
这种 NukeSped 变体也使用批处理脚本进行自删除,但与之前攻击中使用的脚本略有不同。
已识别的 NukeSped 变体有两种类型: 反向外壳和绑定外壳类型。两者都监听端口号 10443。这种 NukeSped 变种与 TigerRat 一样,在与 C&C 服务器通信前都有一个身份验证过程。不过,TigerRat 将该过程伪装成 SSL 通信,而 NukeSped 则伪装成 HTTP 通信。因此,在发送以下 POST 请求后,必须收到准确匹配的 HTTP 响应,恶意软件才能开始与 C&C 服务器通信。
2. 近期袭击案例
ASEC正在监控Andariel组织的攻击,最近发现了Innorix Agent被滥用来安装恶意软件的案例。与以往 Innorix Agent 被下载恶意软件不同,最近的案例是直接创建恶意软件文件,因此尚不能确定这些攻击是漏洞攻击还是 Innorix Agent 被滥用。
在这些攻击中发现的恶意软件并非 Andariel 组织过去使用过的恶意软件,但除了 Innorix 被用于攻击这一事实外,当前的攻击与过去的攻击案例类似,攻击目标都是韩国的大学。在实施攻击的同时,还发现了针对韩国信息通信技术公司、电子设备制造商、造船业和制造业的攻击案件。分析表明,在 Innorix 被滥用的攻击案例中,所使用的恶意软件变种存在关联。
本部分将对每个攻击案例和攻击中使用的恶意软件菌株进行分析。随后,将总结这些攻击背后是同一威胁行为者的结论、这一说法背后的依据,以及当前攻击与 Andariel 威胁组织过去攻击案例之间的关系。
2.1. 滥用 Innorix Agent 的案例
2.1.1. Goat RAT
在最近针对韩国大学的攻击中,出现了 Innorix Agent 安装恶意软件的情况。Innorix Agent以 "iexplorer.exe "为名安装了恶意软件。这是 Andariel 集团经常使用的名称之一。
E:/Projects/Malware/6_Goat_23/Goat/Goat.go
E:/Projects/Malware/6_Goat_23/Goat/define.go
E:/Projects/Malware/6_Goat_23/Goat/anti-vaccine.go
E:/Projects/Malware/6_Goat_23/Goat/command.go
虽然与过去攻击中使用的基于 Go 的后门型恶意软件不同,最近的版本已被混淆,但仍可识别出基本的文件任务、自删除功能等。还有执行以下命令的日志。
cmd /c tasklist
cmd /c ipconfig /all
2.2. 攻击韩国公司的案例
2.2.1. AndarLoader
除了Innorix Agent被滥用的攻击案例外,ASEC还在类似时期发现了另一种攻击类型。虽然最初的传播途径尚未确定,但攻击中使用的恶意软件与被归类为 Andardoor 的 .NET 恶意软件一样,都使用一种名为 Dotfuscator 的工具进行了混淆处理。另一个共同特征是,这两种类型都使用 SSL 与 C&C 服务器进行通信。与 Andardoor 不同的是,Andardoor 在连接 C&C 服务器时使用 "clientName",而这次攻击使用的是字符串 "sslClient"。
Andardoor 的大部分功能都已实现,而该恶意软件仅有下载器功能,可从外部下载和执行可执行数据(如 .NET 程序集)。在 C&C 服务器发送的命令中,下图所示命令可用于执行或终止接收到的代码。威胁行为体使用 AndarLoader 执行的行为包括在受感染系统中安装 Mimikatz,这已通过记录的日志得到证实。
在分析时,C&C 服务器无法访问,负责实际功能的部分也无法调查,因此无法确认与 Andardoor 的直接相似性。不过,由于使用了相同的混淆工具或与 C&C 服务器的通信过程相似,AhnLab 将此恶意软件归类为 AndarLoader 类型。
| 命令 | 功能 |
| ---------- | ---------------------------------------- |
| alibaba | Execute the downloaded .NET assemblies |
| facebook | Execute the downloaded .NET method |
| exit | Terminate |
| vanish | Self-delete and terminate |
在 AndarLoader 执行的处理程序下达的命令中,有一条是终止 mshta.exe 进程的命令。事实上,AndarLoader 是通过 PowerShell 安装的,而且 mshta.exe 进程也参与其中,因此这有可能是一种鱼叉式网络钓鱼攻击,与上述攻击案例类似。
此外,在感染 AndarLoader 的系统中还可以找到 mshta.exe 进程连接 C&C 服务器的日志。
域名 kro.kr 被用作 C&C 和下载 URL。这是 Kimsuky 威胁组织通常使用的域。此外,在攻击过程中还安装了用于 RDP 连接的 Ngrok,这表明该案例与 Kimsuky 集团的攻击模式相似。
2.2.2. DurianBeacon
在调查 AndarLoader 恶意软件时,AhnLab 发现在攻击过程中还使用了一种名为 DurianBeacon 的恶意软件。DurianBeacon 有两个版本,一个用 Go 开发,另一个用 Rust 开发。这两个版本都是后门程序,可以通过接收攻击者从 C&C 服务器发出的命令来执行恶意行为。
A. Go 版本
检查二进制文件中包含的以下字符串表明,恶意软件创建者将该恶意软件变种命名为 DurianBeacon。
G:/Dev/Go/DurianBeacon/Command.go
G:/Dev/Go/DurianBeacon/SSL.go
G:/Dev/Go/DurianBeacon/Utils.go
G:/Dev/Go/DurianBeacon/main.go
DurianBeacon Go 版本使用 SSL 协议与 C&C 服务器通信。初次访问后,它会发送受感染系统的 IP 信息、用户名、桌面名、架构和文件名,然后等待命令。发送命令后,它会返回结果。除了收集受感染系统的基本信息外,还支持文件下载/上传、查找和命令执行等功能。
由于使用的是 SSL 协议,通信数据包是加密的。内部使用以下数据包结构。
| 偏移 | 大小 | 描述 |
| ---------- | ---------- | ------------------------------ |
| 0x00 | 0x04 | Command number |
| 0x04 | 0x04 | Size of the command argument |
| 0x08 | Variable | Command argument |
每个命令代码对应的功能如下。
| 命令 | 功能 |
| ------------------------ | ----------------------------------- |
| 0x00 | Hibernate |
| 0x01 | Interval |
| 0x02 | Execute commands (return results) |
| 0x03 | Look up directories |
| 0x04 | Drive information |
| 0x05, 0x06, 0x07, 0x08 | Upload files |
| 0x09, 0x0A, 0x0B | Download files |
| 0x0C | Create directories |
| 0x0D | Delete files |
| 0x0E | Run commands |
| 0x0F | Terminate |
执行命令后,恶意软件会向威胁方的 C&C 服务器发送成功状态或命令执行结果。响应也与命令数据包类似。
| 偏移 | 大小 | 描述 |
| ---------- | ---------- | --------------------------------------- |
| 0x00 | 0x04 | Response number |
| 0x04 | 0x04 | Size of the command execution results |
| 0x08 | Variable | Command execution results |
Table 4. DurianBeacon响应数据包的结构
| 响应 | 描述 |
| ------------------ | ---------------------------------------------- |
| 0x00 | Return command results |
| 0x01, 0x02, 0x03 | Look up directories (start, terminate, etc.) |
| 0x04 | Drive information |
| 0x05, 0x06, 0x07 | Upload files (error, success, etc.) |
| 0x08, 0x09, 0x0A | Download files (error, success, etc.) |
| 0x0B, 0x0C | Create directories (failure or success) |
| 0x0D, 0x0E | Delete files (failure or success) |
| 0x0F, 0x10 | Run commands (failure or success) |
B. Rust 版本
对相关文件的调查显示,DurianBeacon 的 Rust 版本也被用于攻击。
- PDB 信息: C:\Users\Anna\Documents\DurianBeacon\target\x86_64-pc-windows-msvc\release\deps\DurianBeacon.pdb
DurianBeacon 支持使用 SSL 以外的 XOR 与 C&C 服务器通信,使用密钥 0x57 对数据包进行加密。
数据包结构和命令也与 Go 版本相同。Rust 版的 DurianBeacon 会在等待命令前发送关键字 "durian2023",以及受感染系统的 IP 信息、用户名、桌面名、架构和文件名。命令发出后,它会返回结果。
3. 与近期袭击案件的联系
上一部分介绍了最近发现的两起案例,一起是通过滥用 Innorix Agent 攻击韩国大学,另一起是通过假定的鱼叉式网络钓鱼攻击在韩国企业中安装恶意软件。本部分将解释为什么 AhnLab 认为这两类攻击的幕后黑手是同一个威胁行为者。
首先,在 AhnLab 的 ASD 日志中,有这样的案例:在相似的时期内,Durian, Goat RAT, 和 AndarLoader 被收集在一起。由于 AndarLoader 的路径名如下,因此该系统被认为是威胁者的测试电脑。
- AndarLoader 收集路径: d:\01__developing\99__c#_obfuscated\runtime broker.exe
也有后门类型的恶意软件株的C&C服务器是相同的情况。当威胁参与者使用Innorix Agent安装恶意软件时,主要使用的是Goat RAT,但也有很大一部分安装了其他恶意软件。虽然无法收集此类恶意软件样本,但记录了与C&C服务器的通信日志。此外,该URL与其他攻击中使用的DurianBeacon C&C服务器URL相同。
最后,有一个日志记录了DurianBeacon安装和卸载的位置。这意味着这些攻击发生在相似的时间段,并且这些攻击可能相互关联,因为安装过程和使用的C&C服务器URL往往相似。
4. 与Andariel集团过去的袭击案件的联系
最近发现的两个攻击案例很可能是由同一个威胁行为者所为。本节将介绍这些攻击与 Andariel 威胁组织之间的关系。
A. 攻击目标
- 攻击韩国的大学、国防工业、电子设备制造商、信息和通信技术公司等。
B. 攻击方法
- 像过去的案件一样滥用 Innorix Agent
- 可能与过去的案例一样使用了鱼叉式网络钓鱼方法
- 安装恶意软件时使用的路径和文件名相似
C. 所用的恶意软件类型
- 使用Go语言开发的恶意软件变种被使用
- Andardoor 和 AndarLoader 的相似之处
- 发现了与之前攻击中使用的Infostealer相似的恶意软件类型
首先,成为攻击目标的行业和部门与过去攻击案件中确定的目标相同,而且在最近的案件中使用了与以前攻击相同的攻击方法。AhnLab 发现了使用 Innorix Agent 的案例。虽然未经证实,但许多日志显示了鱼叉式网络钓鱼攻击的情况。
从 Andariel 过去到现在的攻击案例中都发现了用于安装恶意软件的文件名 "iexplorer.exe"。除 "iexplorer.exe "外,"authsvc.exe "和 "creditsvc.exe "等包含 "svc "关键字的文件名也不断被使用。此外,除 "mainsvc.exe "和 "certsvc.exe "外,还使用过 "netsvc.exe "和 "srvcredit.exe "等类似名称。
如相应章节所述,AndarLoader 使用 Dotfuscator 试用版进行了混淆,Dotfuscator 是 Andardoor 在以前的攻击中使用过的工具。它还使用 SSL 加密与 C&C 服务器进行通信,再次显示出与以往攻击案例的相似之处。还有两个用 Go 开发的恶意软件也被使用了。这与今年年初以来使用 Go 开发的 1th Troy Reverse Shell 和 Black RAT 等恶意软件的趋势一致。
最后,还有一个被认为是威胁行为者的测试电脑和在攻击过程中由攻击者创建的信息窃取软件。实际上,过去的Andariel组织安装了一些用于在攻击过程中窃取帐户凭据的恶意软件,能够从Internet Explorer、Chrome和Firefox等浏览器中窃取保存的帐户凭据。这些恶意软件是命令行工具,
通过命令行输出提取的帐户凭据。威胁行为者似乎使用了一个后门来将结果发送到C&C服务器。
最近攻击中使用的 Infostealer 有类似的格式。唯一不同的是,它只针对网络浏览器,窃取账户凭据和历史记录。此外,与以往通过命令行输出结果的情况不同,最近的版本会将窃取的信息保存在同一路径下,文件名为 "error.log"。
5. 结论
Andariel 组织与 Kimsuky 和 Lazarus 一样,是针对韩国的高度活跃的威胁组织之一。该组织早期发起攻击是为了获取与国家安全相关的信息,但现在则是为了经济利益。[11] 据了解,该组织在最初的渗透过程中会使用鱼叉式网络钓鱼攻击、watering hole 漏洞攻击和漏洞利用。它还曾在攻击过程中利用其他漏洞传播恶意软件。
用户必须特别小心来源不明的电子邮件附件或从网站下载的可执行文件。用户还应为操作系统和互联网浏览器等程序打上最新补丁,并将 V3 升级到最新版本,以提前预防恶意软件感染。
文件检测
– Backdoor/Win.Agent.R562183 (2023.03.14.00)
– Backdoor/Win.Andardoor.C5381120 (2023.02.16.01)
– Backdoor/Win.Andardoor.R558252 (2023.02.16.01)
– Backdoor/Win.AndarGodoor.C5405584 (2023.04.05.03)
– Backdoor/Win.DurianBeacon.C5472659 (2023.08.18.02)
– Backdoor/Win.DurianBeacon.C5472662 (2023.08.18.02)
– Backdoor/Win.DurianBeacon.C5472665 (2023.08.18.03)
– Backdoor/Win.Goat.C5472627 (2023.08.18.02)
– Backdoor/Win.Goat.C5472628 (2023.08.18.02)
– Backdoor/Win.Goat.C5472629 (2023.08.18.02)
– Backdoor/Win.NukeSped.C5404471 (2023.04.03.02)
– Backdoor/Win.NukeSped.C5409470 (2023.04.12.00)
– Backdoor/Win.NukeSped.C5409543 (2023.04.12.00)
– Infostealer/Win.Agent.C5472631 (2023.08.18.02)
– Trojan/Win.Agent.C5393280 (2023.03.11.00)
– Trojan/Win.Agent.C5451550 (2023.07.11.00)
– Trojan/Win.Andarinodoor.C5382101 (2023.02.16.01)
– Trojan/Win.Andarinodoor.C5382103 (2023.02.16.01)
– Trojan/Win32.RL_Mimikatz.R366782 (2021.02.18.01)
行为检测
– Suspicious/MDP.Download.M1004
– Infostealer/MDP.Behavior.M1965
IOC
MD5
– 0a09b7f2317b3d5f057180be6b6d0755: NukeSped variant – Volgmer (%SystemRoot%\mstc.exe.irx)
– 1ffccc23fef2964e9b1747098c19d956: NukeSped Variant – Volgmer (%SystemRoot%\msnox.exe.irx)
– 9112efb49cae021abebd3e9a564e6ca4: NukeSped variant – Volgmer (%SystemRoot%\system32\mscert.exe)
– bcac28919fa33704a01d7a9e5e3ddf3f: NukeSped variant – Volgmer (%SystemRoot%\msnoxe.exe.irx)
– ac0ada011f1544aa3a1cf27a26f2e288: Andardoor (%SystemDrive%\users\%ASD%\msdes.exe.irx)
– c892c60817e6399f939987bd2bf5dee0: Andardoor (%SystemDrive%\users\%ASD%\msdes.exe.irx)
– 0211a3160cc5871cbcd4e5514449162b: Andardoor (%SystemDrive%\users\%ASD%\msdes.exe.irx)
– e5410abaaac69c88db84ab3d0e9485ac: 1st Troy Reverse Shell (%SystemRoot%\msnox.exe.irx)
– 88a7c84ac7f7ed310b5ee791ec8bd6c5: 1st Troy Reverse Shell (%SystemRoot%\msnox.exe.irx)
– eb35b75369805e7a6371577b1d2c4531: TigerRat (%SystemRoot%\system32\hl_cl.exe)
– 5a3f3f75048b9cec177838fb8b40b945: TigerRat (%SystemDrive%\users\%ASD%\larabar.exe, %SystemDrive%\users\%ASD%\mainsvc.exe, %SystemDrive%\users\%ASD%\certsvc.exe)
– 9d7bd0caed10cc002670faff7ca130f5: Black RAT (%SystemRoot%\syswow64\mbcbuilder.exe, %SystemRoot%\syswow64\msinfo.exe)
– 8434cdd34425916be234b19f933ad7ea: Black RAT (%SystemRoot%\system32\shamon.exe)
– bbaee4fe73ccff1097d635422fdc0483: NukeSped Variant (%SystemDrive%\users\%ASD%\update.exe)
– 79e474e056b4798e0a3e7c60dd67fd28: NukeSped variant (%SystemRoot%\hl_cl.exe)
– 3ec3c9e9a1ad0e6a6bd75d00d616936bc: Goat RAT (%SystemDrive%\users\%ASD%\downloads\iexplore.exe)
– 95c276215dcc1bd7606c0cb2be06bf70: Goat RAT (%SystemDrive%\users\%ASD%\downloads\iexplore.exe)
– 426bb55531e8e3055c942a1a035e46b9: Goat RAT (%SystemDrive%\users\%ASD%\downloads\iexplore.exe)
– cfae52529468034dbbb40c9a985fa504: Goat RAT (%SystemDrive%\users\%ASD%\downloads\iexplore.exe)
– deae4be61c90ad6d499f5bdac5dad242: Goat RAT (%SystemDrive%\users\%ASD%\downloads\iexplore.exe)
– 6ab4eb4c23c9e419fbba85884ea141f4: AndarLoader ((SystemDrive%\users\%ASD%\pictures\runtime broker.exe, %SystemRoot%\system32\authsvc.exe, %SystemRoot%\system32\creditsvc.exe, %ProgramFiles%\smartplant\svchost.exe)
– bda0686d02a8b7685adf937cbcd35f46: DurianBeacon Go (a.exe)
– 6de6c27ca8f4e00f0b3e8ff5185a59d1: DurianBeacon Go (%SystemDrive%\users\%ASD%\pictures\xxx.exe)
– c61a8c4f6f6870c7ca0013e084b893d2: DurianBeacon Rust (%SystemDrive%\users\%ASD%\documents\d.exe)
– 5291aed100cc48415636c4875592f70c: Mimikatz (%SystemDrive%\users\%ASD%\mimi.exe)
– f4795f7aec4389c8323f7f40b50ae46f: malware collecting account credentials (%SystemDrive%\users\%ASD%\documents\mshelp.exe)
下载 URL
– hxxp://27.102.113[.]88/client.exe: NukeSped variant – Volgmer
– hxxp://27.102.107[.]230/mstcs.exe: NukeSped variant – Volgmer
– hxxp://27.102.107[.]233/update.exe: NukeSped variant – Volgmer
– hxxp://27.102.107[.]233/client.exe: NukeSped variant – Volgmer
– hxxp://27.102.107[.]234/update.exe: NukeSped variant – Volgmer
– hxxp://27.102.107[.]235/mstcs.exe: NukeSped variant – Volgmer
– hxxp://139.177.190[.]243/update.exe: Andardoor
– hxxp://4.246.144[.]112/update.exe: Andardoor
– hxxp://27.102.113[.]88/update.exe: 1st Troy Reverse Shell
– hxxp://27.102.107[.]224/update.exe: 1st Troy Reverse Shell
– hxxp://27.102.107[.]230/update.exe: 1st Troy Reverse Shell
– hxxp://www.ipservice.kro[.]kr/dataSeq.exe: AndarLoader
– hxxp://www.ipservice.kro[.]kr/creditsvc.exe: AndarLoader
C&C URL
– 27.102.113[.]88:5443: NukeSped variant – Volgmer
– 27.102.107[.]234:8443: NukeSped variant – Volgmer
– 27.102.107[.]224:5443: NukeSped variant – Volgmer
– 109.248.150[.]179:443: NukeSped variant – Volgmer
– 139.177.190[.]243:443: Andardoor
– 4.246.144[.]112:443: Andardoor
– 27.102.113[.]88:21: 1st Troy Reverse Shell
– 27.102.107[.]224:8443: 1st Troy Reverse Shell
– 4.246.149[.]227:8080: TigerRat
– 13.76.133[.]68:8080: TigerRat
– 217.195.153[.]233:443: TigerRat
– bbs.topigsnorsvin.com[.]ec:8080: Black RAT
– 27.102.129[.]196:8088: Black RAT
– 13.76.133[.]68:10443: NukeSped variant
– 46.183.223[.]21:8080: Goat RAT
– chinesekungfu[.]org:443: AndarLoader
– privatemake.bounceme[.]net:443: AndarLoader
– 8.213.128[.]76:1012: DurianBeacon Go
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论