随着网络中安全环境逐步的完善,往往攻击者使用的网络资产在极短的时间就会受到各类安全设备以及安全运维人员的围追堵截。攻击者不仅完不成预计指标甚至还要频繁遭受跟换网络资产的损失。所以近几年使用DDR(Deep Drop Resolver)的方式越来越受到欢迎。如以telegramBot,github的方式来完成信息上传和组件下发以及更新的方式也被频繁使用于apt的攻击活动中(如saaiwc、drakpink、摩诃草等),代替以往攻击组件中uploader、downloader的职责,用于规避安全设备对于网络资产的拦截。
本次山石网科情报中心捕获到一批活跃于越南地区的僵尸网络样本,他们自称自己为“Gaper Botnet“,在某通讯软件上以59$/1月的价格向外兜售病毒软件和黑客服务。在这些样本中同样使用了github+telegramBot的方式来规避安全设备审查。
登录验证成功后根据用户选择,将指定文件变更为 指定格式.scr,并推荐用户使用软件Resource Hacker修改文件图标资源,以达到文件更好的隐蔽效果。
MD5:
38d772e660ecb2999b552695af84dfda
95c9e07d1e4747b63541b117ba1eac8a
341b7fd302c77d7431d89eedbc53ded0
6841f8f3e0ec5246e0ca45154a8807e2
83c35eb33524b815c37a4156810cc485
f138837953d012a785daea3a49c937f3
be66ec4f8c28e943eb969eb3b350db9e
315f5afee0edfa706044764e28f980b4
Url:
https://severnew1[.]fun/file.exe
https://thisinhthanhlich.edu[.]vn/cor/11.exe
TelegramBot Toekn:
bot6681894385:AAFWqY1zbS2llFtcV_7uojkr6f9JchJI5yQ
bot6203037714:AAFqqfaKcZUR7CoYiyymVTztFfocBWxqaL8
可使用山石网科防火墙和NIPS产品的C2和AV防护模块来防范该风险,请确保将特征库升级至截止20230830的最新版本。山石网科防火墙与态势感知云景可以有效地预警并拦截与APT组织相关的威胁情报(IOC)和恶意行为。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论