< 返回新闻公共列表

隐藏的Cobra APT黑客通过远程SMB工具攻击日本组织

发布时间:2020-09-25
最近,隐藏的Cobra APT威胁的参与者通过混淆恶意软件攻击了日本组织。该恶意软件下载并管理所有模块,然后将其作为.drv文件保存

最近,隐藏的Cobra APT威胁的参与者通过混淆恶意软件攻击了日本组织。该恶意软件下载并管理所有模块,然后将其作为.drv文件保存在C:\ Windows \ System32 \等文件夹中,并作为辅助工具运行。隐藏式眼镜蛇,又称拉撒路(Lazarus),是朝鲜APT黑客组织,自2009年以来就参与了世界各地政府和私营部门的各种知名网络攻击。

Cobra APT Cobra APT黑客远程攻击了SMB
恶意软件混乱

这是一种使文本和二进制数据无法接受的方法。它允许威胁参与者隐藏所有关键字符串;它是一个显示恶意软件行为的程序。这种类型的字符串将被签名为密钥和受感染的URL。在这种情况下,威胁参与者使用VMProtect来混淆服务。在这种类型的恶意软件中,攻击者使用加密/编码方法来隐藏安全程序中的所有数据。在某些情况下,协商会更进一步,并使用一些称为“打包程序”的特殊工具来混淆整个程序,这将使向后的计划和解释更加复杂。
配置存储在哪里?

已加密恶意软件(大小:0x6DE)的配置,并将其收集在注册表记录中,并在执行期间进行排列。在此分析中,确认配置已收集在最终目录中:

键:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceseventlogApplication

根据jpcert报告,恶意软件中的所有字符串都使用AES128加密,这就是为什么加密密钥在这种类型的恶意软件中被硬编码的原因。此外,Windows API标题也由AES加密。稍后,当它解密API字符串时,它将确定由LoadLibrary和GetProcAddress命名的API的地址。

模块下载

下载模块后,它将执行一些主要功能,就像从C&C服务器获取命令一样。以下模块执行七个操作:

文件操作(创建列表,删除,复制,修改创建时间)
进程中的操作(创建列表,执行,终止)
上传/下载文件
创建和上传ZIP目录中的文件
执行任何Shell命令
获取磁盘信息
修改系统时间

此外,安全专家仍在调查拉撒路和宣布这一行为的许多组织所进行的活动。专家还声称,可以在多个国家看到这种攻击。如果无法尽快解决,那么日本将再次发生类似的攻击。</ p>

最后,攻击者使用Python工具“ SMBMAP”传播了感染并使用了帐户信息。该工具通过Pyinstaller将其转换为Windows PE文件后,便可以通过SMB访问远程主机。


以上文章部分内容采集于网络,如有侵权请联系未来云客服处理,谢谢!



/../template/Home/mama/PC/Static