求关注，求抱大腿，求把本菜鸡带走

一、

本次攻击事件主要是，在9月12日，当受害者（越南某公司）在收到海莲花组织发来的邮件后，该邮件内嵌了一个url，该url下载后是一个恶意文档。

此时该受害者回复，文档下载失败后，该组织重发了一封邮件说明抱歉，并且此次的邮件中带有附件。

样本hash：72263750df84e24fe645206a51772c88

样本名：HopDong-XXX-TP-092018.docx

邮箱信息：diemtruong90.sk@gmail.com

邮件内容：

图1 受害者收到带有url的邮件

图2 受害者发送邮件说明下载失败，然后攻击者发送了新的邮件并附带恶意文档给受害者

ioc： https://open.betaoffice.net/lane.png

下面该图为该组织在上周攻击的邮件内容，依旧是使用这个邮箱。

二、

#黑产团伙#   Iron Group，投放XBash，一种针对Linux和Microsoft Windows服务器的新恶意软件系列，删数据库并且带自我传播功能

https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/

Iron Group是一个以勒索软件攻击而闻名的威胁组织，xbash家族由其开发

该家族使用python开发，大多数用于windows，小部分用于linux。

如果Xbash成功登录到包括MySQL，MongoDB和PostgreSQL的服务，它将删除服务器中几乎所有现有数据库（除了存储用户登录信息的一些数据库），创建一个名为“PLEASE_READ_ME_XYZ”的新数据库，并留下赎金消息进入新数据库的表“WARNING”

当Xbash发现目标有Hadoop，Redis或ActiveMQ运行时，它也会尝试利用该服务进行自我传播。目标有三个已知漏洞：

1、Hadoop YARN ResourceManager未经身份验证的命令执行，于2016年10月首次披露，未分配CVE编号。

2、Redis任意文件写入和远程命令执行，于2015年10月首次公开，未分配CVE编号。这在下面的图6中显示。

3、ActiveMQ任意文件写入漏洞，CVE-2016-3088。

上图为Redis漏洞利用，Xbash将直接执行shell命令下载并运行恶意Shell或Python脚本，或创建新的cron作业来执行相同操作。恶意脚本从同一C2下载服务器使用Xbash。在任何一种情况下，它们的主要功能是杀死其他流行的Coinminers，下载由Iron cybercrime小组开发的Coinminers，并将Xbash本身下载到目标系统以进一步传播。

Xbash的另一个值得注意的特性是它使用Redis和HTTP服务来确定是否在Linux或Microsoft Windows上安装了易受攻击的Redis服务。如果被扫描的目标同时具有易受攻击的Redis服务和HTTP服务，则Xbash将尝试使用Redis漏洞泄漏的信息来猜测HTTP Web服务器的安装位置。然后，Xbash使用该位置来猜测目标正在运行的操作系统（Linux或Windows），如下图

三、

侧重于通信协议分析的角度分析

BONDUPDATER 2.0

https://asert.arbornetworks.com/tunneling-under-the-sands/

对应下面这篇

四、

lazarus利用manuscrypt的新攻击，HWP恶意软件伪装成韩国发展协会（房地产协会），前几天发过，补发链接

http://sfkino.tistory.com/69

这两天经常有人后台留言微信群，欢迎各位来群发情报，只要不涉及我党的信息就行。