Lazarus 使用泄露的黑客团队工具(4)
时间:2022-12-28 19:35 来源:网络整理 作者:采集插件 点击:次
source_huf3917b006a7e16e922ee76ac4da2f54f_645848_1320x0_resize_box_3.png (389.56 KB, 下载次数: 0) 下载附件 2022-12-20 14:46 上传 WinMain 在 Hacking Team 存储库中没有任何可比较的代码,因此我的假设是 hkcmds.exe 是经过修改或更新的版本。还有一些明显的不匹配,比如在 obfuscated_calls.h 中没有 CreateThread 条目,但在 hkcmds.exe 中使用了它。我将继续对该样本进行进一步分析,但有趣的是看到可能的国家行为者使用 Hacking Team 工具。 结论 将此恶意软件归因于 Lazarus 或其他朝鲜演员的理由相当充分。考虑到提交者的位置、文档的内容、使用 CHM 文件进行交付、利用泄漏的工具以及 Akamai 进行基础设施托管;所有这些都与之前关于 Lazarus 近期活动的报告一致。 IoCs Hashes wallet.chm 96f144e71068bc98c5e73d396738d22a948d3a5e2d20ba618b5a0a758c0a7a89 hkcmds.exe 442769ddce07457c55fa2eb61b145f6ad91cc1155fc2124b275e0acaf4029e2c IPs 23[.]216[.]147[.]64 参考 https://www.zscaler.com/blogs/security-research/naver-ending-game-lazarus-apt Lazarus (责任编辑:admin) |
- 上一篇:偏执团宠,重生小撩精燃炸天
- 下一篇:第1353章 蛮不讲理 黑客萌宝很坑爹