恶意软件NOKKI和朝鲜“Group123”APT组织关联的最新证据
Palo Alto Networks的研究人员近期发布了一篇关于NOKKI恶意软件的报告,报告表示NOKKI和新发现的KONNI恶意软件共用代码。尽管在此报告中没有说明,NOKKI还与KimJongRAT木马共享代码(该木马由Cisco Talos的Paul Rascagnères于2013年发现)。在Palo Alto的另一份报告中,还公布了NOKKI与朝鲜攻击者APT37(又称收割者或Group123)的关联。
与NOKKI关联的恶意文档会利用VBScript,下载一个新发现的名为Final1stspy的恶意软件,该名称是由程序内部的PDB字符串得来的。据Palo Alto Networks指出,Final1stspy带有2个组件,其中名为“LoadDLL”的exe文件,其唯一目的就是加载一个名为“hadowexecute”的DLL payload。在收集完受感染机器的信息后,一个名为“DOGCALL”(又称ROKRAT)的恶意软件会被下载,作为最终payload,这也成为NOKKI和APT37的关联点之一。
代码复用的关联信息
这个函数仅在Group123组织的ROKRAT和Final1stspy的DLL组件中出现过,该函数的功能是收集系统信息并以相同格式保存。
结论
IOCs
2011b9aa61d280ca9397398434af94ec26ddb6ab51f5db269f1799b46cf65a76 (DLL)
0669c71740134323793429d10518576b42941f9eee0def6057ed9a4ba87a3a9a (DLL)
fb94a5e30de7afd1d9072ccedd90a249374f687f16170e1986d6fd43c143fb3a (EXE)
Group 123 (FreeMilk / ROKRAT Samples)
99c1b4887d96cb94f32b280c1039b3a7e39ad996859ffa6dd011cf3cca4f1ba5
01045aeea5198cbc893066d7e496f1362c56a154f093d1a8107cecad8d4e4df2
26ad5f8889d10dc45dcf1d3c626416eb604f5fe4a7268e044f17a3ab6ff14e53
65ec544841dbe666d20de086495158128ddffb8b076ddb801a3f2dc250481135
7f35521cdbaa4e86143656ff9c52cef8d1e5e5f8245860c205364138f82c54df
ef40f7ddff404d1193e025081780e32f88883fa4dd496f4189084d772a435cb2
恶意软件NOKKI和朝鲜“Group123”APT组织关联的最新证据相关推荐
- 【安全漏洞】朝鲜InkySquid APT组织是怎么利用浏览器漏洞感染受害者
朝鲜InkySquid APT组织利用浏览器漏洞感染受害者. 2021年4月,Volexity研究人员识别出了通过www.dailynk[.]com网站加载到恶意子域名的jquery[.]servic ...
- Hermit(隐士)APT组织2020年最新攻击活动分析
- APT组织Reaper新Dropper公开:NOKKI和DOGCALL存在关联性
国庆节快乐 披露时间:2018.10.1 APT组织:Reaper(Group123,apt37) 该组织特定使用的与本次事件相关恶意软件家族:DOGCALL 新公开恶意dropper家族:Final ...
- [译] APT分析报告:03.OpBlueRaven揭露APT组织Fin7/Carbanak(上)Tirion恶意软件
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助.前文分享了钓鱼邮件网址混淆URL逃避检测,这篇文章将介绍APT组织 ...
- 朝鲜APT组织使用带后门IDA软件攻击安全研究人员
2021年初,朝鲜APT组织Lazarus通过养推特大V账号,配合定制开发的恶意软件+0day漏洞针对安全研究人员进行了一系列的网络攻击活动,详细可见:通过社交媒体针对安全研究人员的社会工程学攻击活动 ...
- 朝鲜APT组织RedEye(Reaper)||ISIS持续进行 OpTheWorld行动
一.朝鲜APT组织RedEye(Reaper/Group 123)新活动与总结 历史攻击事件与手段还有文档内容标题 历史样本家族与对应功能 Reloader (DocPrint) 在内存中执行其他恶意 ...
- APT组织BlackEnergy继任者:GreyEnergy,台湾研华公司证书被其盗取
相关链接(点击阅读原文即可): https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threa ...
- 朝鲜国家黑客组织Lazarus 被指攻击IT供应链
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- 刺向巴勒斯坦的致命毒针——双尾蝎 APT 组织的攻击活动分析与总结
刺向巴勒斯坦的致命毒针--双尾蝎 APT 组织的攻击活动分析与总结 封面-pic1 一.前言 双尾蝎APT组织(又名:APT-C-23),该组织从 2016 年 5 月开始就一直对巴勒斯坦教育机构.军 ...
最新文章
- iOS UICollectionView实现瀑布流(3)
- 机器学习(MACHINE LEARNING)灰色关联分析(GRA)
- javascript函数式_JavaScript中的函数式编程原理
- 草稿 0242 ktv第一个页面
- 猴子选大王 (20 分)
- GCC,GDB,Makefile
- java B2B2C Springboot仿淘宝电子商城系统(六)springboot整合mybatis
- linux_basics
- VBA实战(6) - 数组
- 数据库备份软件带邮件发送
- C++之个人银行账户管理程序(二)
- linux每日命令(3):ln命令
- 这可能是最简单,精炼,有效的magisk 安装教程,附boot.img 提取方法
- 年终囍一批、愁一批......浮躁啊,眼红啊,这个真有
- 函数指针的定义及使用
- 何为Servlet?
- is not backed by gradle android,Module … is not backed by gradle
- 蚂蚁金服宫孙:guava探究系列之优雅校验数据
- 计算机视觉 响应_视觉响应式布局的自动化测试
- 显示隐藏Html元素(div等)
热门文章
- 互联网小拼,这一生的故事,你要看看吗《打工人的那些事》
- 苹果手机双卡双待是哪一款_提个醒:手机“双卡双待”,卡一和卡二究竟有什么区别?早知道为好...
- DR模式——LVS负载均衡群集
- 2018红帽杯线上预选赛 wp---MISC
- Swing学习笔记目录
- 百度云 php api接口调用 签名计算
- 营销落地页及客服咨询转化技巧 —百度竞价
- Android开发概述
- DC-DC(直流-直流)变换器
- “程序员吐槽大会”上,被怼坏的阿里美女产品经理,做出了2亿人在用的钉邮钉盘!...