木曜日威胁情报: 针对学术界的攻击行动和Kelihos僵尸网络之谢幕
主要针对学术界的STOLEN PENCIL攻击活动
STOLEN PENCIL活动主要针对学术界,许多大学的受害者都拥有生物医学工程专业知识,这可能表明了攻击者瞄准的动机。
攻击来源为朝鲜,攻击方式为发送鱼叉式网络钓鱼电子邮件,打开后会将其引导至显示诱饵文档的网站,该网站通过JS,会并立即提示安装恶意Google Chrome扩展程序。(chrome插件是刷的评分)
恶意Chrome扩展程序声明了在浏览器中的每个URL上运行的权限
一旦获得立足点,攻击者就会使用现成的工具来确保持久性,包括远程桌面协议(RDP)以维持访问。(不用远控后门)
具体如下:
1、将键盘操作记录到%userprofile%\ appdata \ roaming \ apach.{txt,log},还可以用作“cryptojacker”,用0x33883E87807d6e71fDc24968cefc9b0d10aC214E替换以太坊钱包地址。此以太坊钱包地址目前具有零余额且无交易。
(就是类似之前替换钱包地址偷数字货币的那些案例)
2、添加具有特定用户名/密码的Windows管理员帐户并启用RDP的工具,可以绕过任何防火墙规则。我们观察到以下用户名/密码组合列表,不知道为什么都带有“1215”:
localadmin / Security1215!
dieadmin1 / waldo1215!
DNSADMIN / waldo1215!
DefaultAccounts / Security1215!
defaultes / 1qaz2wsx#EDC
除了使用RDP之外,在某次行动中还打包了一个zip压缩包,内含工具如下
使用工具列表如下
之后会通过从各种来源(如进程内存,Web浏览器,网络嗅探和键盘记录程序)中获取密码来维护访问持续性。
并且攻击者注册了大量仿造网站,用以钓鱼,网站上会加载JS,可能用于目标筛选
域名如下
client-message[.]com
world-paper[.]net
docsdriver[.]com
grsvps[.]com
coreytrevathan[.]com
gworldtech[.]com
下图完美的阐述了这一切,来自友人,不是原图文
相关链接
https://asert.arbornetworks.com/stolen-pencil-campaign-targets-academia/
告别安全界:网络犯罪组织ZOMBIE SPIDER和Kelihos僵尸网络谢幕
网络犯罪组织ZOMBIE SPIDER,主谋在接管Kelihos僵尸网络后被抓,从此该僵尸网络将被终结束。该犯罪组织主谋似乎与俄罗斯政府有某种联系,特别关注他们对其他民族国家的网络行动,并且还帮助俄罗斯相关部门进行网络安全人才招聘。
值得一提的是,Kelihos僵尸网络已经换了好几届主人了。
ZOMBIE SPIDER背后的主要威胁演员是Peter Yuryevich LEVASHOV。他使用了绰号Peter Severa或Severa。Levashov是几个俄罗斯地下论坛的成员,他在那里宣传他的产品并表达了他的意见。Levashov使用的化身是一个类似龙的角色
Kelihos僵尸网络主要通过分发垃圾邮件传播,其感染目标设备后会进行,u盘传播,挖矿,ftp爆破等操作进行进一步传播,并且内置垃圾邮件引擎,类似邮件蠕虫。其具有其他僵尸网络该有的一切功能。
Kelihos在路由器节点上托管了SOCKS5代理服务,并且利用WinPcap库来窥探主机的网络流量,搜索明文协议HTTP,FTP,POP和SMTP。捕获通过路由器节点泄露到工作服务器(也就是其他节点)的凭据。
诱饵网站类似下图
其中该恶意软件疑似由一名为Andrey SABELNIKOV的俄罗斯人制作,恶意软件中非恶意部分大多数代码和以下工程重合
https://github.com/sabelnikov/epee
由于已经被抓,所以看看细节学习一下就好,但目前该僵尸网络还是由部分受害者主机仍然在被感染,不过由于没有主控所以危害不大(flag)
相关链接:
https://www.crowdstrike.com/blog/farewell-to-kelihos-and-zombie-spider/
关注公众号并回复:london blue 或londonblue
即可获取前日的详细的londonblue黑产组织报告
更多精彩,请见知识星球
扫一扫,精彩等你来
木曜日威胁情报: 针对学术界的攻击行动和Kelihos僵尸网络之谢幕相关推荐
- 木曜日威胁情报:也门互联网争夺战/SamSam/污水/CAD
有用就推荐给身边的朋友关注一下吧,在此谢过 情报简讯 一. 正在进行的也门内战期间,内部与外部势力,正在通过互联网控制与其他网络手段发动二次战争 也门内战,导致的外部与内部势力均开展互联网的抢夺之战, ...
- 金曜日威胁情报:重大数据泄露事件(万豪,戴尔)+各类新鲜APT攻击(朝韩俄等)报告...
数据泄露 一.万豪旗下喜达屋酒店数据库遭入侵,5亿顾客信息或泄露 作为一家国际五星酒店,能够勇敢的承认自己被黑了,数据泄露了,这已经是一种具有社会责任感的体现,比国内某家知道自己被黑了还藏着掖着各种发 ...
- 《2021 DDoS攻击态势报告》解读 | 基于威胁情报的DDoS攻击防护
随着5G.云计算.大数据.物联网等新兴数字产业的发展,信息基础设施的建设规模也随之扩大,这无疑会导致越来越多的网络资产暴露在互联网上.这些资产一旦被DDoS攻击者所利用,将会对网络安全带来严重威胁.在 ...
- 网安学习——什么是威胁情报?
文章目录 1. 什么是威胁情报 2. 威胁情报的基本特征 3. 威胁情报的用途 4. 威胁情报的数据采集 5. 威胁情报的分析方法 6. 威胁情报的服务平台 7. 威胁情报的开源项目 1. 什么是威胁 ...
- 【2016阿里安全峰会】风声与暗算,无中又生有:威胁情报应用的那些事儿【附PDF下载】...
一年一度的阿里安全峰会创立于 2014 年,每年在7月举办,今年已是第三届,今年于7月13-14日在北京国家会议中心举办.阿里安全峰会旨在促进亚太区信息安全行业发展,为本地区信息安全组织.信息安全专业 ...
- 从RSAC2017看威胁情报如何落地
年度安全峰会RSA2017已于美国时间2月13日盛大开幕.从最近三年RSA所有演讲的主题词热度可以看出,"Threat"和"Intelligence"都是大家关 ...
- 网络威胁情报与美国国防工业基地
网络威胁情报(CTI)是一门情报学科,利用收集,完善和分析数字信息来应对网络空间领域中存在的威胁.网络威胁情报基于内部到外部数据源,威胁社区或商业产品中收集的数据,可以帮助检测和防御网络犯罪分子,高级 ...
- 2020.8.17红队威胁情报-日更
今日红队ip库,文章每日更新 请在https://www.secshi.com/41563.html评论区留言威胁情报,将会选取用户送出定制鼠标垫! 链接: https://pan.baidu.com ...
- 实战案例|聚焦攻击面管理,腾讯安全威胁情报守护头部券商资产安全
金融"活水"润泽千行百业,对金融客户来说,由于业务场景存在特殊性和复杂性,网络安全必然是一场"持久战".如何在事前做好安全部署,构建威胁情报分析的防护体系至为重 ...
最新文章
- Django模板用法
- freemarker模板文件中文本域(textarea)的高度自适应实现
- 阿里开源的那个牛X的问题排查工具——Arthas,推出IDEA插件了!
- STC89C52 STC89LE52 NRF24L01无线 教程 (一)
- python展开 c函数中的宏预处理_C 语言常用的预处理-宏函数
- orc parquet区别 spark_HIVE存储格式ORC、PARQUET对比
- 大数据之-Hadoop之HDFS_hadoop集群中的安全模式_操作案例---大数据之hadoop工作笔记0075
- erlang 分布式数据库Mnesia 实现及应用
- 代码的执行效率(3)--缓存与局部性 摘自赵劼老师的博客
- 拓端tecdat|R语言使用二元回归将序数数据建模为多元GLM
- 台达plc自由口通讯_自由口通讯问题无法接收数据
- 鹰式价差matlab,鹰式期权:什么叫铁鹰式期权组合,蝶式价差期权?
- Python之——网站访问流量统计
- 必备的 6 大计算机网络基础知识点!会 3 个以上就很牛逼了
- 视觉SLAM:一直在入门,从未到精通
- 想知道如何将PDF合并成一个?这里有三个简单的方法分享
- 转:变种挖矿蠕虫问题解决
- ffmpeg每隔1秒抽取视频的1帧画面
- C++ COleDateTime
- JSP+MySQL校园新闻网站实战教程与源代码
热门文章
- 双目视觉测量系统在不同纵向距离中测量精度比对实验
- 数据中心服务器机柜电气参数,数据中心服务器机柜一些安装与参数
- 手动创建oracle database
- elasticsearch 实践
- oracle opm系统,ORACLE EBS OPM标准功能培训资料-OPM成本-V1.0.doc
- Android watermak
- Race_Condition实验
- python远程使用ants中的配准命令和N4biasfiledcorrection注意点
- PPT中如何找到字母上面带尖/冒的符号
- 第十届蓝桥杯大赛软件类省赛 JAVA 大学 A 组