USDT自动充值接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

事宜影响

26日,谷歌威胁剖析小组披露了[1]一系列来自东北亚某国黑客组织的针对平安研究职员(尤其是破绽研究职员)的攻击流动。攻击者使用疑似Lazarus APT组织的攻击基础设施,连系异常具有迷惑性的社工操作,骗取受害者信托,并可能以偷取平安公司电脑上的高价值破绽研究资料到达攻击目的。现在国内已有一定数目的平安研究职员受到这个组织的诱骗,其研究电脑的敏感信息泄露。

技巧攻击

攻击者为了与平安研究者确立互信并保持联系,首先会在一些社交媒体上公布一些破绽研究博客和Twitter,吸引相关研究者的关注。其已知的攻击计谋有两种:

(1)在Twitter上举行一段时间的手艺交流获得研究者信托后,攻击者会询问研究职员是否愿意开展互助研究,并向受害研究职员提供一个经由PGP加密的所谓“开展破绽研究的VS源码项目”。其中在编译设置文件中挪用了一段powershell剧本,加载了第一阶段的恶意DLL,举行一系列持久化设置在受害的研究者电脑确立后门,并与其C2服务确立毗邻,成为一个被控的目的。

(2)攻击者Twitter会链接到他们搭建的以破绽研究博客为内容却包罗疑似破绽行使恶意代码的水坑站点。当受害者浏览相关页面时,其电脑将被安装一个恶意服务,并启动一个内存后门程序,最先与攻击者的C2确立毗邻,成为一个被控的目的。

在此,攻击者行使了平安研究职员的多个心理弱点:

(1)研究者往往以为攻击者是个平安研究偕行,且攻击者并不像其他破绽商人那样有款项诉求,并在github上有长达近一年的连续内容更新,导致研究者降低了心理防御;

(2)破绽研究者收到的攻击者的VS代码看来是明文,而研究者往往忽视看待编译代码设置文件的审计,意识不到编译历程中恶意代码就会执行;

攻击溯源

对比Lazarus组织2020年9月的攻击流动,从攻击者使用的C2域名,攻击技巧和恶意代码,可发现本次攻击事宜Lazarus APT组织具有较大关联性。

(1)在基础设施上,有与Lazarus关联的C2

(www.dronerc[.]it ,www.fabioluciani[.]com ),且使用的url有很大相似性:

(2)在攻击手法上,通过rundll32 加载恶意文件,传入16位随机字符串解密密钥“5I9YjCZ0xlV45Ui8”,payload命名方式(都以db为后缀),也与Lazarus组织2020年9月攻击流动的手法相似:

(3)对比相关payload文件,其数据解密部门,反射注入部门代码结构及代码数目方面具有很大的相似性:

手艺剖析详情

千里目高级威胁研究团队对相关恶意代码的剖析显示其攻击的手艺流程如下:

攻击链1

(1)本次攻击者通过在VS项目中设置预构建事宜下令,通过rundll32执行VS项目中附带的恶意64位的dll文件,编译时间戳为2020年12月19日(文件名Browse.VC.db,事实上是一个PE):


伪装成微软的组件程序:

截止到北京时间2021年1月26日下昼18点,google公布预警数小时后,VT上也仅有15个引擎能够检出。

(2)挪用导出函数,使用RC4解密出驻留文件夹路径、文件名称、注册表项等:

建立文件夹

C:\ProgramData\VirtualBox\

打开注册表启动项,设置启动项数据

”HKLM\Software\Microsoft\Windows\CurrentVersion\Run”:

C:\\Windows\\System32\\rundll32.exe 
C:\\\\ProgramData\\\\VirtualBox\\\\update.bin,ASN2_TYPE_new 5I9YjCZ0xlV45Ui8 4113

(3)内存解密释放第二阶段文件加载器update.bin,而且建立历程启动该加载器

C:\ProgramData\VirtualBox\update.bin

(4)该加载器在内存解密新的dll,而且反射加载,通报牢固参数4113

(5)执行后,只开启一个线程作监听作用,便于后续执行上传下载操作,C2地址:

hxxps://codevexillium.org/image/download/download.asp
hxxps://angeldonationblog.com/image/upload/upload.php

与C2举行数据通讯,现在相关页面已经被删除

攻击链2

凭据Google平安讲述以及平安职员反馈,该攻击者还疑似使用chrome浏览器0day破绽对目的举行攻击。攻击乐成会在其相关注册表留下被加密的payload,而且释放一个伪造为驱动文件的DLL文件建立服务举行驻留(如helpsvc.sys)。

其建立的两条注册项划分为

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\KernelConfig
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverConfig

其中注册表中保存着相关payload的加密数据

其拥有如下导出函数ServiceMain,挪用而且注册服务

其会解密相关注册表路径,而且读取注册表中的数据

HKLM\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\KernelConfig

读取SubVersion值,为数据巨细

读取Description值,其为加密的payload数据

解密读取的数据为一个远控DLL文件,释放器会举行反射注入而且挪用

该远控会毗邻C2,凭据返回下令执行相关动作

https://www.dronerc.it/shop_testbr/Core/upload.php
http://www.trophylab.com/notice/images/renewal/upload.asp

该远控拥有下令执行、信息搜集、注册表操作、屏幕截图等功能

事宜靠山详情

为利便读者明白事宜靠山,我们将谷歌预警的原文翻译如下,部门敏感内容被打码,有兴趣的读者可以阅读原始链接:

https://blog.google/threat- *** ysis-group/new-campaign-targeting-security-researchers

靠山详情:谷歌预警原文

关于一个针对平安研究职员新型定向攻击流动的剖析讲述

(New campaign targeting security researchers)

在已往的几个月里,Threat Analysis Group发现了一个针对破绽研究和开发职员的定向攻击流动,被攻击者漫衍在多个公司和组织。现在,通过溯源已经确定,本次攻击流动背后的攻击者来自于一个由****支持的组织,该组织使用了多种攻击手艺和手段提议本次定向攻击流动。攻击者控制的站点和账户详情请参阅附录。

为警醒本领域的研究职员,我们对该攻击事宜举行了系统剖析,并公布本文,以提醒平安研究职员,他们也已经成为定向攻击的目的。当他们与陌生人针对一些平安问题举行互动时,必须保持足够的小心。否则,纵然你是从事平安研究的职员,你也可能会“中招”。

在本次攻击流动中,攻击者为了与平安研究者确立互信并保持互动联系,首先会在一些社交媒体上公布一些研究博客和Twitter,从而构建起一个从事平安研究的个人账户,以此吸引潜在的目的工具前来接见。攻击者会在他们的Twitter帐户下公布博客,以及他们所宣称的破绽行使视频,并转发其它一些受他们控制帐户的帖子,如图1所示。

图1 攻击者控制的Twitter账户(Actor controlled Twitter profiles)

攻击者公布的博客中,通常会包罗一些针对已公然破绽的剖析和报道,而且这些博客还会包罗来自于一些不知情的正当平安研究职员的跟帖,以最大限度地与其他研究职员确立起互信关系。攻击者公布的一个针对公然破绽的剖析博客如图2所示。

图2 攻击者公布的针对一个公然破绽的剖析博客示例 (Example of an *** ysis done by the actor about a publicly disclosed vulnerability.)

通常情况下,我们很难周全验证攻击者所公布视频中所涉及到的破绽的真实性,也难以验证破绽是否可用,但攻击者已经在至少一个视频中,伪造了他们乐成行使所宣称可用破绽的场景。2021年1月14日,攻击者在Twitter上分享了一个YouTube视频,宣称行使了破绽CVE-2021-1647,并宣称该破绽是一个最近刚被打补丁的Windows Defender破绽。在视频中,他们演示了一个行使该破绽天生cmd.exe的shell程序。然则,YouTube上公布的多条谈论说,该视频是假的,该破绽并非如视频中所展示,而是公布者伪造出来的。针对这些谈论,攻击者行使他们所控制的另外一个Twitter账户来转发原文,并声称该视频是真的。

,

Usdt第三方支付接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

图3 展示攻击者破绽行使的Tweets(Tweets demonstrating the actors' “exploits”)

在本次攻击流动中,攻击者使用了一种新型的社会工程攻击手段,来针对特定的平安研究职员提议定向攻击。在确立初始的通讯联系之后,攻击者就会询问被攻击研究职员是否愿意互助开展破绽研究,并向被攻击者提供一个Visual Studio程序包。该程序包中包罗一些开展破绽行使的源程序,并附带一个通过Visual Studio编译历程而运行的DLL文件。该DLL文件是一个定制的恶意程序,一旦执行就会与攻击者控制的C2服务确立毗邻。下图所示为VS编译事宜所天生的image文件,其中可以看到编译历程会运行的Powershell剧本。

图4 当编译攻击者提供的VS项目程序时执行的编译指令(Visual Studio Build Events command executed when building the provided VS Project files)

除了向定向用户提议社会工程攻击之外,我们还发现了另外几种当受害研究职员接见攻击者博客之后被攻击的方式。其中一种攻击方式为,当受害者点击blog.br0vvnn.io上公布的一篇文章时,受害者的电脑系统中就会在今后不久安装一个恶意的服务,并会启动一个内存后门程序,最先与攻击者控制的C2服务确立通讯毗邻。在此接见期间,受害者电脑上运行的Chrome浏览器和Windows 10系统都是最新的,而且都已安装了最新的补丁。现在,该攻击历程所用的攻击机制尚未明确。Chrome官方也公布新闻,迎接任何研究职员提交破绽在野行使信息。

剖析发现,攻击者使用了多个平台与潜在攻击工具举行相同联系,包罗Twitter、LinkedIn、Telegram、Discord、Keybase及邮件Email。本文的附录中列出了已知的攻击者所用的账户和别名。若是列位读者与这些账户举行了相同,或者接见了他们的博客,我们建议您尽快基于我们所列的IOC检查一下自己的系统是否中招。停止现在,我们仅发现了这些针对Windows系统提议定向攻击的攻击者。

若是你忧郁以后可能会被定向攻击,我们建议使用离开的物理机或虚拟机来划分开展研究流动,包罗浏览网络,与其他研究者交流,吸收第三方文件,及开展自己的平安研究等。

攻击相关IoC

攻击者控制的网站和帐户

(1)用于水坑攻击的“平安研究博客”:

https://blog.br0vvnn[.]io

(2)攻击者Twitter账号:

https://twitter.com/br0vvnn

https://twitter.com/BrownSec3Labs

https://twitter.com/dev0exp

https://twitter.com/djokovic808

https://twitter.com/henya290

https://twitter.com/james0x40

https://twitter.com/m5t0r

https://twitter.com/mvp4p3r

https://twitter.com/tjrim91

https://twitter.com/z0x55g

(3)攻击者LinkedIn账号:

https://www.linkedin.com/in/billy-brown-a6678b1b8/

https://www.linkedin.com/in/guo-zhang-b152721bb/

https://www.linkedin.com/in/hyungwoo-lee-6985501b9/

https://www.linkedin.com/in/linshuang-li-aa696391bb/

https://www.linkedin.com/in/rimmer-trajan-2806b21bb/

(4)攻击者Keybase:

https://keybase.io/zhangguo

(5)攻击者Telegram:

https://t.me/james50d

(6)样本Hashes:

https://www.virustotal.com/gui/file/4c3499f3cc4a4fdc7e67417e055891c78540282dccc57e37a01167dfe351b244/detection (VS Project DLL)

https://www.virustotal.com/gui/file/68e6b9d71c727545095ea6376940027b61734af5c710b2985a628131e47c6af7/detection (VS Project DLL)

https://www.virustotal.com/gui/file/25d8ae4678c37251e7ffbaeddc252ae2530ef23f66e4c856d98ef60f399fa3dc/detection (VS Project Dropped DLL)

https://www.virustotal.com/gui/file/a75886b016d84c3eaacaf01a3c61e04953a7a3adf38acf77a4a2e3a8f544f855/detection (VS Project Dropped DLL)

https://www.virustotal.com/gui/file/a4fb20b15efd72f983f0fb3325c0352d8a266a69bb5f6ca2eba0556c3e00bd15/detection (Service DLL)

(6)攻击者C2域名:

angeldonationblog[.]com

codevexillium[.]org

investbooking[.]de

krakenfolio[.]com

opsonew3org[.]sg

transferwiser[.]io

transplugin[.]io

(7)被攻击者行使作C2 域名的被攻陷的正当站点:

trophylab[.]com

www.colasprint[.]com

www.dronerc[.]it

www.edujikim[.]com

www.fabioluciani[.]com

(8)C2 URLs:

https[:]//angeldonationblog[.]com/image/upload/upload.php

https[:]//codevexillium[.]org/image/download/download.asp

https[:]//investbooking[.]de/upload/upload.asp

https[:]//transplugin[.]io/upload/upload.asp

https[:]//www.dronerc[.]it/forum/uploads/index.php

https[:]//www.dronerc[.]it/shop_testbr/Core/upload.php

https[:]//www.dronerc[.]it/shop_testbr/upload/upload.php

https[:]//www.edujikim[.]com/intro/blue/insert.asp

https[:]//www.fabioluciani[.]com/es/include/include.asp

http[:]//trophylab[.]com/notice/images/renewal/upload.asp

http[:]//www.colasprint[.]com/_vti_log/upload.asp

(9)受害者主机IOCs:

注册表键值:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\KernelConfig

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverConfig

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SSL Update

文件路径:

C:\Windows\System32\Nwsapagent.sys

C:\Windows\System32\helpsvc.sys

C:\ProgramData\USOShared\uso.bin

C:\ProgramData\VMware\vmnat-update.bin

C:\ProgramData\VirtualBox\update.bin

参考文献

https://blog.google/threat- *** ysis-group/new-campaign-targeting-security-researchers

Allbet Gaming声明:该文看法仅代表作者自己,与本平台无关。转载请注明:usdt手机钱包(www.caibao.it):【高级持续性威胁追踪】当黑客不讲武德,平安专家也容易上当
发布评论

分享到:

usdt无需实名(www.caibao.it):埃特纳火山八天内喷发六次 摄影师纪录岩浆喷涌至500米高空
3 条回复
  1. 卡利充值
    卡利充值
    (2021-02-08 00:07:26) 1#

      据《罗马体育报》报导,国米已经暂时弃捐了与库姆布拉(Marash Kumbulla)的谈判,将专注于引进维顿汉(Jan Vertonghen)。哇哇哇,这是什么好文

  2. 欧博app下载
    欧博app下载
    (2021-04-17 00:12:52) 2#

    Allbet开户欢迎进入Allbet开户(Allbet Game),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。还好啦。

  3. usdt教程网
    usdt教程网
    (2021-06-17 00:00:23) 3#

    USDT线下交易U交所(www.usdt8.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。下笔如有神

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。