【情报分享1234】来自海莲花组织的道歉,然后再给你扔了个恶意文档
求关注,求抱大腿,求把本菜鸡带走
一、
本次攻击事件主要是,在9月12日,当受害者(越南某公司)在收到海莲花组织发来的邮件后,该邮件内嵌了一个url,该url下载后是一个恶意文档。
此时该受害者回复,文档下载失败后,该组织重发了一封邮件说明抱歉,并且此次的邮件中带有附件。
样本hash:72263750df84e24fe645206a51772c88
样本名:HopDong-XXX-TP-092018.docx
邮箱信息:diemtruong90.sk@gmail.com
邮件内容:
图1 受害者收到带有url的邮件
图2 受害者发送邮件说明下载失败,然后攻击者发送了新的邮件并附带恶意文档给受害者
ioc: https://open.betaoffice.net/lane.png
下面该图为该组织在上周攻击的邮件内容,依旧是使用这个邮箱。
二、
#黑产团伙# Iron Group,投放XBash,一种针对Linux和Microsoft Windows服务器的新恶意软件系列,删数据库并且带自我传播功能
https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/
Iron Group是一个以勒索软件攻击而闻名的威胁组织,xbash家族由其开发
该家族使用python开发,大多数用于windows,小部分用于linux。
如果Xbash成功登录到包括MySQL,MongoDB和PostgreSQL的服务,它将删除服务器中几乎所有现有数据库(除了存储用户登录信息的一些数据库),创建一个名为“PLEASE_READ_ME_XYZ”的新数据库,并留下赎金消息进入新数据库的表“WARNING”
当Xbash发现目标有Hadoop,Redis或ActiveMQ运行时,它也会尝试利用该服务进行自我传播。目标有三个已知漏洞:
1、Hadoop YARN ResourceManager未经身份验证的命令执行,于2016年10月首次披露,未分配CVE编号。
2、Redis任意文件写入和远程命令执行,于2015年10月首次公开,未分配CVE编号。这在下面的图6中显示。
3、ActiveMQ任意文件写入漏洞,CVE-2016-3088。
上图为Redis漏洞利用,Xbash将直接执行shell命令下载并运行恶意Shell或Python脚本,或创建新的cron作业来执行相同操作。恶意脚本从同一C2下载服务器使用Xbash。在任何一种情况下,它们的主要功能是杀死其他流行的Coinminers,下载由Iron cybercrime小组开发的Coinminers,并将Xbash本身下载到目标系统以进一步传播。
Xbash的另一个值得注意的特性是它使用Redis和HTTP服务来确定是否在Linux或Microsoft Windows上安装了易受攻击的Redis服务。如果被扫描的目标同时具有易受攻击的Redis服务和HTTP服务,则Xbash将尝试使用Redis漏洞泄漏的信息来猜测HTTP Web服务器的安装位置。然后,Xbash使用该位置来猜测目标正在运行的操作系统(Linux或Windows),如下图
三、
侧重于通信协议分析的角度分析
BONDUPDATER 2.0
https://asert.arbornetworks.com/tunneling-under-the-sands/
对应下面这篇
四、
lazarus利用manuscrypt的新攻击,HWP恶意软件伪装成韩国发展协会(房地产协会),前几天发过,补发链接
http://sfkino.tistory.com/69
这两天经常有人后台留言微信群,欢迎各位来群发情报,只要不涉及我党的信息就行。
【情报分享1234】来自海莲花组织的道歉,然后再给你扔了个恶意文档相关推荐
- 基于JAVA疫情社区志愿者组织的资源管理平台计算机毕业设计源码+系统+数据库+lw文档+部署
基于JAVA疫情社区志愿者组织的资源管理平台计算机毕业设计源码+系统+数据库+lw文档+部署 基于JAVA疫情社区志愿者组织的资源管理平台计算机毕业设计源码+系统+数据库+lw文档+部署 本源码技术栈 ...
- 看伊朗黑客组织OilRig如何在实施攻击前测试他们的诱饵文档
近日,网络安全公司Palo Alto Networks的研究人员家分析了伊朗黑客组织OilRig在针对特定目标正式实施攻击之前测试他们的诱饵文档的活动. OilRig,又名Helix Kitten或N ...
- 某APT组织利用AVAST杀软的白利用针对越南司法部投放恶意文档
在推特上刷到这条推文 推文中的博客链接提到这是针对越南司法部的APT攻击,并提供了样本文件Hash rtf样本文件sha1: 41f0757ca4367f22b0aece325208799135c96 ...
- 如何写好技术文档——来自Google十多年的文档经验
文章目录 文档的重要性 为什么大多数人都不喜欢写文档? 如何产出高质量文档 像管理代码一样管理文档 明确你的读者是谁 清晰的分类 参考文档 设计文档 引导类文档 概念性文档 Landing pages ...
- 如何写好技术文档 - 来自 Google 十多年的文档经验!
星标/置顶 公众号????,硬核文章第一时间送达! 本文大部分内容译自<Software Engineering at Google> 第10章节 Documentation.另外,该书电 ...
- 怎么把cad做的图分享给别人_在线协同文档分享后,别人只能看却不能写怎么办?...
在这个远程办公方式盛行的时代,越来越多的办公软件开始蜂拥而至,而小编最近发现一款简单而又好用的协作办公软件--石墨文档,这款软件支持多人协作,对云端的文档或表格进行有效的编辑,同时还支持多人同时编辑同 ...
- wps多人协作后怎么保存_在线协同文档分享后,别人只能看却不能写怎么办?
在这个远程办公方式盛行的时代,越来越多的办公软件开始蜂拥而至,而小编最近发现一款简单而又好用的协作办公软件--石墨文档,这款软件支持多人协作,对云端的文档或表格进行有效的编辑,同时还支持多人同时编辑同 ...
- 从文档分享看互联网重塑教育
进入2014年,在线教育宛如万马奔腾一般迅速火起来!从YY高调"挖角"新东方老师,BAT等巨头先后收购相关公司进行战略布局,传统K12教育机构集体发力.一时间,在线教育领域发展如火 ...
- 赛可达推病毒攻击检测和情报分享服务
本文讲的是赛可达推病毒攻击检测和情报分享服务,近日,国际知名第三方测评认证机构--赛可达实验室隆重推出病毒攻击检测和情报分享服务(简称"SKD-VS"). 据赛可达实验室CEO宋继 ...
- 如何更安全的分享文档(权限设置、密码保护等功能)
如何更安全的分享文档(权限设置.密码保护等功能) 桌面单机版文档 桌面单机版演示文稿 桌面单机版表格 桌面单机版表单 虽然在之前的旧版本ONLYOFFICE里面就已经有了文档的权限设置保护等功能了,但 ...
最新文章
- python判断二叉树是否为平衡二叉树
- 基于Swoole和Redis实现的并发队列处理系统
- tf.arg_min
- ASP.NET Core 导入导出Excel xlsx 文件
- 三、项目经理的角色【PMP 】
- 【elasticsearch】 document 查询原理
- linux-01-linux中的一些特殊符号
- 关于vue2用vue-cli搭建环境后域名代理的http-proxy-middleware解决api接口跨域问题
- 【汇编语言】【ARM扩展资料】数据寻址
- 附加和分离SQL数据库
- 数据分析师的职场晋升
- 【机器学习PAI实践十一】机器学习PAI为你自动写歌词,妈妈再也不用担心我的freestyle了(提供数据、代码
- Flink-电商用户行为分析(网站独立访客数(UV)的统计)
- 解密QQ号(stl库)
- 傻子,疯子,一根筋的人才能创业成功!
- 硬盘活动分区(将磁盘分区标为活动或取消活动的方法)(转)
- 使用 “Cubic” 制作自定义 “ubuntu” 系统镜像
- 小白教程:快速在IDEA上创建包和类(java)
- 计算机里的百度云盘怎么删除,百度云盘怎么删除好友 百度云盘删除好友方法...
- 软件开发过程中的QA与QC