“狼來了”!某黑產團伙套殼“大灰狼遠控”發起攻擊
事件描述
深信服深瞻情報實驗室監控到某黑產團伙利用高危RCE漏洞發起攻擊,並利用定製的“大灰狼遠控”作案工具實施遠端控制,最終實現控制使用者機器和竊取使用者隱私資料的目的。
深瞻情報實驗室透過分析樣本發現了駭客的HFS(HTTP File Server)伺服器地址,然後提取到駭客的攻擊樣本檔案。利用伺服器提交檔案的時間記錄可以發現此黑產團伙從2022.6.5號開始搭建服務並分發惡意程式碼,目前深信服從大資料情報中心發現已有少量客戶中招,建議相關單位儘早做好相關的加固防護措施。
情報分析
該黑產團伙利用NC BeanShell遠端程式碼執行漏洞(CNVD-2021-30167)和E-Cology OA程式碼執行漏洞(CNVD-2019-32204)作為初始攻擊,攻擊成功則投遞大灰狼遠控樣本test.exe,捕獲的攻擊特徵如下:
投遞樣本test.exe是使用go 1.18.1版本進行編譯,使用UPX 3.9.6進行加殼保護,內部核心封裝了大灰狼遠控模組進行通訊,通訊地址為121.41.109.54:9956,樣本執行後也會修改登錄檔將自身加入啟動項進行持久化操作,惡意程式碼建立的啟動登錄檔名稱為OneDriveTools。
透過對該黑產團伙攻擊C2的探測,發現該地址搭建了HFS服務,透過該伺服器進行了惡意程式碼的分發,透過時間記錄可以發現此黑產團伙從2022.6.5號開始搭建服務並分發惡意程式碼。
其中datelog.dll為定製化的大灰狼遠控模組,後續也持續更新使用了Server.exe,test.exe模組,其核心也是datelog.dll大灰狼遠控的程式碼邏輯。
EXP.dll為一個功能完善的瀏覽器竊密模組,可以匯出瀏覽器歷史記錄、cookie和儲存的密碼資訊。
相關文章
- 多個黑產團伙利用向日葵遠控軟體RCE漏洞攻擊傳播
- 進擊的“8220”!深信服捕獲8220挖礦團伙使用最新Confluence高危漏洞發起攻擊
- 從異常挖掘到CC攻擊地下駭客團伙
- 勒索軟體團伙為攻擊致歉,並免費發放解密器解密
- 勒索攻擊為什麼成為了黑產“財富密碼”?密碼
- 黑產攻擊來勢洶洶,應用如何從“頭”防禦
- 再次捕獲雲上在野容器攻擊,TeamTNT黑產攻擊方法揭秘
- 盤他!近兩年 IP團伙攻擊行為大盤點
- “大灰狼”遠控木馬分析及幕後真兇調查
- 勒索軟體團伙在攻擊警察局後主動提供解密器解密
- 9月勒索病毒報告來襲:資料洩露成勒索攻擊新套路,20餘個流行勒索團伙組團出道
- 能源公司ERG遭LockBit勒索軟體團伙攻擊後出現通訊中斷
- 黑產godlike攻擊: 郵箱 XSS 竊取 appleID 的案例分析GoAPP
- 轉移目標!PYSA勒索團伙利用新型GoLang木馬攻擊學校及醫院Golang
- 人們首次成功對 GPU 發起旁路攻擊GPU
- “看門狗”團伙的遠控木馬畫皮術,360安全大腦獨家披露
- 從Windows 到安卓:多重攻擊機制的遠控的分析Windows安卓
- 獨家揭祕“拍拍熊”(APT-C-37):持續對某武裝組織發起攻擊!APT
- 勒索1000萬美元,疑似LockBit勒索軟體團伙違規攻擊法國醫療機構
- 騰訊安全預警:黑客團伙借SSH弱密碼爆破攻擊 日均目標近十萬黑客密碼
- 利用python爬取某殼的房產資料Python
- 反詐態勢情報 | 遠控技術的應用趨勢,以及窩點黑產裝置的監控和打擊對策
- 境外黑客團隊“白象”突然活躍,針對我國特定單位和個人發起攻擊黑客
- 遊戲出海隱性決勝點——安全防護、抗黑產DDoS攻擊遊戲
- Python裝飾器:套層殼我變得更強了!Python
- 資料庫國產化是在套殼圈錢嗎資料庫
- 對某單位的 APT 攻擊樣本分析APT
- 警惕黑客利用“新冠肺炎”熱詞發起網路攻擊黑客
- 如果全球的沙子都對你發起DDoS攻擊,如何破?
- 某殼分析+修復(二)
- 攻擊域控絲滑小連招
- DevOps 團隊如何防禦 API 攻擊devAPI
- 安全漏洞在網路攻擊中影響多大?勒索組織趁漏洞修補時機發起攻擊
- 黑客團伙利用Instagram和Telegram設套,針對伊朗開展間諜活動黑客
- 勒索攻擊導致美國緊急預警!有了這套方案再也不用怕了!
- 新VR潮,又一個“狼來了”的故事?VR
- 勒索團伙追蹤:Avaddon的發展歷程
- 回顧:2021年六起大型網路攻擊產生哪些重大影響?