Patchwork APT组织针对某医疗卫生机构相关人员与巴基斯坦国防地方官吏攻击活动分析

称呼

MD5

描绘出

jli.dll

暗门明文

msvcr71.dll

86f1895ae8c5e8b17d99ece768a70732

系统会库明文

OneDrive.exe

带有唯一性的“java-rmi.exe”紫明文

OneDrive.exe是一个带有唯一性的java紫明文，监督将会侧存储同附录下的jli.dll暗门明文：

jli.dll是BADNEWS”暗门程序中变种，该明文保有了PDB逆时针信息： “E:\new_ops\jlitest __change_ops -29no - Copy\Release\jlitest.pdb”。并且包含了多个嵌入参数，而每个嵌入参数都监督同一段故意文档：

故意文档监督将会首先成立取名为：“run”的比方说体普通人，以此必要自身单实例接入。然后成立“%AppData%MicrosoftUpdate”社会活动附录，用于完好后续故意操作产生的屏幕截图等明文。

然后新建线程完成键盘记录，并将获取到的浏览器输入信息完好到“%Temp%TPX498.dat”明文中。明文以均须的“KLTNM:”字符串开首，后面跟着当前系统会的键盘文档标识。

然后通过wmi接口获取系统会uuid、os等信息后，解密发送给C2链接：“uuid=%sWilduser=%sWildatcomp=%sWildos=%s”

C2回连域名“bgre.kozow[.]com”则以硬区块的方式驱动器在文档中：

C2链接接收到完全免费信息包后，会通过下发命令监督其它故意操作：

C2命令与动态描绘出：

C2命令

动态描绘出

Case1

通过“dir”命令，遍历均须附录下的所有明文，将结果完好到“flst.txt”明文，解密后上传到C2链接。

Case2

iTunes解密明文，解密后监督。然后将“i6ofg.dat”明文中的信息解密后上传到C2链接。

Case3

确实

Case4

存储均须明文信息，解密后上传到C2链接。

Case6

完好屏幕截图到%Time%.jpg，解密后上传到C2链接。

Case7

存储“TPX498.dat”键盘记录明文中的信息，解密后上传到C2链接。

Case12

通过“dir”命令，遍历“MicrosoftUpdate”社会活动附录下的所有明文，将结果完好到“flst.txt”明文，解密后上传到C2链接。终止进程。

Case13

确实

所有上传的信息都以如下格式完成填充：

管控建议

布赖APT袭击预警SDK并不需要发现存留或确实威胁，SDK能实时监测、逃逸和比对故意明文或程序中的进攻性，并并不需要对电话号码投递、防火墙利用、安装去除、回连控制等各个阶段关联的木马等故意试样完成强有力的监测。

同时，SDK根据双向流量比对、智能的机器学习、高效的沙箱动态比对、丰富的不同之处库、全面性的检测方式而、海量的威胁情报等，对网络流量完成深度比对。检测战斗能力完整伸展整个APT袭击链，有效发现APT袭击、确实威胁及浏览器友善的网络确保血案。

布赖PS卫士EDR通过“SDK+侧”分布式调动，“进程阻断+诱使引擎”双引擎布署存留及确实类型威胁。

IOC

MD5

C2

104.143.36[.]19

193.37.212[.]216

bgre.kozow[.]com

URL

bgre.kozow[.]com/Gfg786v6fcd6v8j09jg67f6/dolist.php

bgre.kozow[.]com/Gfg786v6fcd6v8j09jg67f6/addentry2.php

bgre.kozow[.]com/Gfg786v6fcd6v8j09jg67f6/filedownload2.php

PDB

E:\new_ops\jlitest __change_ops -29no - Copy\Release\jlitest.pdb

无视！与Log4Shell相似的Java防火墙出现了 确保威胁情报快报 “掩盖”信息泄露，前Uber首席确保官被控告 微软无视：Log4j 防火墙袭击水平仍然很高 2022年需要了解的项网络确保统计信息 独家！美国宇航局局长社交账户被希腊海军陆战队母公司黑客入侵

注：本文由E确保编译华盛顿邮报。

。

崇左治疗白癜风费用
白癜风去那家医院看好
柳州医院白癜风哪好