主要针对学术界的STOLEN PENCIL攻击活动

STOLEN PENCIL活动主要针对学术界，许多大学的受害者都拥有生物医学工程专业知识，这可能表明了攻击者瞄准的动机。

攻击来源为朝鲜，攻击方式为发送鱼叉式网络钓鱼电子邮件，打开后会将其引导至显示诱饵文档的网站，该网站通过JS，会并立即提示安装恶意Google Chrome扩展程序。（chrome插件是刷的评分）

恶意Chrome扩展程序声明了在浏览器中的每个URL上运行的权限

一旦获得立足点，攻击者就会使用现成的工具来确保持久性，包括远程桌面协议（RDP）以维持访问。（不用远控后门）

具体如下：

1、将键盘操作记录到％userprofile％\ appdata \ roaming \ apach.{txt，log}，还可以用作“cryptojacker”，用0x33883E87807d6e71fDc24968cefc9b0d10aC214E替换以太坊钱包地址。此以太坊钱包地址目前具有零余额且无交易。

(就是类似之前替换钱包地址偷数字货币的那些案例)

2、添加具有特定用户名/密码的Windows管理员帐户并启用RDP的工具，可以绕过任何防火墙规则。我们观察到以下用户名/密码组合列表，不知道为什么都带有“1215”：

• localadmin / Security1215！

• dieadmin1 / waldo1215！

• DNSADMIN / waldo1215！

• DefaultAccounts / Security1215！

• defaultes / 1qaz2wsx＃EDC

除了使用RDP之外，在某次行动中还打包了一个zip压缩包，内含工具如下

使用工具列表如下

之后会通过从各种来源（如进程内存，Web浏览器，网络嗅探和键盘记录程序）中获取密码来维护访问持续性。

并且攻击者注册了大量仿造网站，用以钓鱼，网站上会加载JS，可能用于目标筛选

域名如下

• client-message[.]com

• world-paper[.]net

• docsdriver[.]com

• grsvps[.]com

• coreytrevathan[.]com

• gworldtech[.]com

下图完美的阐述了这一切，来自友人，不是原图文

相关链接

https://asert.arbornetworks.com/stolen-pencil-campaign-targets-academia/

告别安全界：网络犯罪组织ZOMBIE SPIDER和Kelihos僵尸网络谢幕

网络犯罪组织ZOMBIE SPIDER，主谋在接管Kelihos僵尸网络后被抓，从此该僵尸网络将被终结束。该犯罪组织主谋似乎与俄罗斯政府有某种联系，特别关注他们对其他民族国家的网络行动，并且还帮助俄罗斯相关部门进行网络安全人才招聘。

值得一提的是，Kelihos僵尸网络已经换了好几届主人了。

ZOMBIE SPIDER背后的主要威胁演员是Peter Yuryevich LEVASHOV。他使用了绰号Peter Severa或Severa。Levashov是几个俄罗斯地下论坛的成员，他在那里宣传他的产品并表达了他的意见。Levashov使用的化身是一个类似龙的角色

Kelihos僵尸网络主要通过分发垃圾邮件传播，其感染目标设备后会进行，u盘传播，挖矿，ftp爆破等操作进行进一步传播，并且内置垃圾邮件引擎，类似邮件蠕虫。其具有其他僵尸网络该有的一切功能。

Kelihos在路由器节点上托管了SOCKS5代理服务，并且利用WinPcap库来窥探主机的网络流量，搜索明文协议HTTP，FTP，POP和SMTP。捕获通过路由器节点泄露到工作服务器(也就是其他节点)的凭据。

诱饵网站类似下图

其中该恶意软件疑似由一名为Andrey SABELNIKOV的俄罗斯人制作，恶意软件中非恶意部分大多数代码和以下工程重合

https://github.com/sabelnikov/epee

由于已经被抓，所以看看细节学习一下就好，但目前该僵尸网络还是由部分受害者主机仍然在被感染，不过由于没有主控所以危害不大（flag）

相关链接：

https://www.crowdstrike.com/blog/farewell-to-kelihos-and-zombie-spider/

关注公众号并回复：london blue 或londonblue

即可获取前日的详细的londonblue黑产组织报告

更多精彩，请见知识星球

扫一扫，精彩等你来