<menu id="guoca"></menu>

<nav id="guoca"></nav><xmp id="guoca">

<xmp id="guoca">

<nav id="guoca"><code id="guoca"></code></nav>

<nav id="guoca"><code id="guoca"></code></nav>

Operation(?????????)Vikrant：屹立于精神內景中的鋼鐵巨象

VSole2021-11-05 12:33:11

概述

奇安信威脅情報中心在2020年時發現了一個位于南亞區域長期針對巴基斯坦進行間諜活動的APT組織，奇安信內部編號APT-Q-42。鑒于南亞大區“優秀”的匹配機制，該團伙其主要攻擊方式與其他南亞組織別無二致，通過自己搭建郵件服務器并發送魚叉郵件的方式向目標投遞帶有惡意DDE文檔和熱點事件相關的PDF/WORD文檔。

隨著最近兩年南亞次大陸方向的熱點事件越來越多，以某區域大國為首的APT攻擊達到了歷史的新高，網絡釣魚活動最為活躍，目前除了一些已知歸屬的釣魚新活動，我們還捕獲到了許多未知但是已成體系的釣魚活動，將在本文第二章節做一個簡短的分享，并披露摩耶象（APT-Q-41）的歷史活動。

與之前的文章類似，本文內容也僅僅是對在過去一段時間內攻擊手法做一個分享，本文所涉及的所以IOC均已無法訪問，APT-Q-42的活動主要針對巴基斯坦、尼泊爾等國不涉及國內。

樣本分析

APT-Q-42通過壓縮包投遞的壓縮包如下：

2020年投遞的誘餌如下，巴基斯坦內閣秘書處采購清單：

Covid19疫情政策相關PDF文檔：

巴基斯坦民航局國際旅客健康申報表：

在2021年投遞的誘餌中我們發現該團伙還會投遞空的PDF和損壞的PDF來誘導受害者打開惡意的DDE文檔。

有趣的是，該團伙投遞的文件名與之前披露的魔羅桫（APT-Q-40）組織存在重疊、而投遞的誘餌內容則與響尾蛇（APT-Q-39）團伙存在重疊，這從側面印證了我們之前提到的南亞APT組織間基礎設施共享的想法。

DDE代碼如下，從動態域名中下載PS腳本并執行，實現持久化等功能

經過重定向后會從Dropbox托管平臺上下載最終的python木馬。

C2一般存放在config.py文件中，核心功能非常簡單。

具有上傳文件、下載文件、改變目錄、命令執行等功能，除此之外我們還發現了使用Python3.8、3.9版本編寫的Rat變種，C2不再是例如pythonanywhere.com、herokuapp.com等動態域名，而是變成了URL。

在2021年時我們發現在疑似該團伙最新活動中會通過DDE從Google云盤上下載Payload，使用了基于Python編寫的Telegram-RAT

網絡釣魚活動

目前我們檢測到越來越多的“雇傭軍”加入了南亞地區的網絡釣魚，攻擊水平完全取決于雇傭人員的代碼水平，在披露摩耶象（APT-Q-41）之前，我們先來看下魔羅桫（APT-Q-40）組織在今年上半年的最新活動，

魔羅桫（APT-Q-40）

釣魚流程與之前出現了較大的變化，投遞的釣魚郵件如下：

提示收件人更新賬戶信息，郵件中包含grabify.link的短鏈接，跳向eu3.org動態域名，會根據動態域名后面的URL來跳轉最終具有魔羅桫（APT-Q-40）組織特色的復雜釣魚頁面，除此之外我們還發現了用于生成復雜鏈接的頁面

摩耶象（APT-Q-41）

該團伙主要以發送釣魚郵件為主，代碼能力極弱，釣魚郵件如下：

ZIP包含了一個html里面帶有釣魚鏈接，部分釣魚鏈接如下：

輸入密碼后會展示對應的PDF文件：

該團伙釣魚域名均使用herokuapp.com或者netlify.app動態域名進行托管，在POST數據時則將其發送到000webhostapp.com動態域名。

后端邏輯會在POST的動態域名下生成txt文件存儲受害者輸入的賬號密碼，收集的TXT名稱如下：

文件記錄格式如下：

從2017年至今始終使用這種方式對相關單位進行網絡釣魚活動，其通過釣魚郵件投遞的樣本是由MSF生成的Ruby木馬，還會投遞一些開源的木馬，總體而言水平更接近低端商貿信。

下面會介紹一批我們認為是新招募的外包人員所發起的網絡釣魚攻擊，由于這些外包人員在被招募以前可能就從事一些商貿信、灰色產業，所以相比之下他們的攻擊手法較為粗糙。

釣魚一

釣魚郵件如下：

點擊鏈接后會先訪問一個被黑的站點，之后會被重定向到azure-na的一個目錄下展示最終的釣魚頁面，整個過程非常隱蔽幾乎不可能被測繪到。

釣魚二

釣魚郵件如下：

點擊釣魚鏈接后會先訪問末尾帶有類似UUID的釣魚鏈接，實際上每一個UUID對應一個郵箱，接著經過兩層跳轉，跳轉到最終的釣魚頁面

釣魚三

釣魚郵件如下：

近年來少有的直接使用IP作為C2進行釣魚的團伙，手法接近與APT，POST邏輯如下：

由于目前我們尚未掌握更多與該團伙相關的信息，故暫不給予對應的編號。

IOC

872be4b14a71c9c37dc24afacc24f46e

0a94d9cc975b9acbfd3e03c94d855e5b

1796bf9d88e69253f2e4fd5a992c0967

84c4264d6ce75d9c3ab4fac41998b495

88241c73619974153be65652f1cdacb2

ba11cc8eecbf9fa794d250228519e838

文章來源：奇安信威脅情報中心

網絡釣魚釣魚

本作品采用《CC 協議》，轉載必須注明作者和本文鏈接

網絡釣魚19式

2022-11-27 07:33:13

隨著技術的進步，黑客和網絡犯罪分子將不斷開發新的網絡釣魚技術來竊取敏感數據。更專業的攻擊者甚至會從合法公司復制完全相同的電子郵件格式，并包含惡意鏈接、文檔或圖像文件，以欺騙用戶“確認”其個人信息或自動下載惡意代碼。建議通過適當的渠道與該帳戶的個人核實溝通。在過去，瀏覽器可以檢測到沒有啟用HTTPS的網站，這是防止網絡犯罪的第一道防線。

警惕這些企業常見網絡安全威脅，每一個都真實發生過

2021-11-09 20:28:51

職場安全防護指南，建議收藏！

針對多國銀行組織的網絡釣魚平臺Robin Banks被發現

2022-08-01 11:06:59

網絡釣魚是大家所熟悉的一種網絡攻擊，這種攻擊也被認為是一種社會工程攻擊，主要是黑客通過將自己偽裝起來，進行欺騙和收集受害者的個人敏感信息。這種類型的攻擊一般而言，是通過短信或者是電子郵件進行網絡釣魚，電子郵件釣魚攻擊，是比較有效的網絡之一，很多的網絡攻擊都是源自于電子郵件的釣魚攻擊。

網絡釣魚攻擊猛增，微軟和 Facebook 成為濫用最多的品牌

2022-07-26 09:10:00

與去年同期相比，第一季度利用 Microsoft 品牌進行的網絡釣魚攻擊實例增加了 266%。

防不勝防？網絡釣魚攻擊常用手法盤點與防護建議

2022-06-28 08:03:52

網絡釣魚攻擊是最常見、最容易讓受害者中招的網絡犯罪之一，隨著網絡技術的不斷發展，攻擊者的偽裝手段也變得愈發狡詐，攻擊頻次也再增高，各種新奇的攻擊方式層出不窮。有些攻擊者可通過網絡釣魚竊取企業內部的關鍵信息，對企業組織的業務安全、信息安全防護帶來了巨大的風險，如何識別攻擊者的各種詐騙花招，保護企業和員工的關鍵信息安全已經成為大多數企業的重要任務。

網絡釣魚詐騙事件的處置和防范

2021-09-26 09:54:09

銀行作為金融服務提供者，對頻發的網絡釣魚詐騙事件，應該逐步從被動響應向主動防范轉變，切實保障金融消費者的資金交易安全。

遠程工作者的網絡釣魚和釣魚防護

2020-10-16 15:24:52

再加上新的遠程員工、視頻會議和企業消息，現在網絡釣魚和網絡釣魚無處不在。單靠技術無法阻止這些攻擊。我們在《企業安全周刊》上采訪了Rapid7的安全顧問Whitney Maxwell，為我們提供了一些有關如何保護遠程工作者免受網絡釣魚和網絡釣魚攻擊的建議。有關更多信息，請訪問Rapid7的網絡釣魚意識培訓教給他們網絡釣魚預防/驗證技巧。網上誘騙技巧非常標準，包括尋找可疑文件附件和惡意網站URL，促進良好的憑據行為以及為系統修補最新漏洞。

怎么應對常見的網絡釣魚攻擊？

2023-05-30 18:01:38

攻擊者通過攻擊DNS服務器，將流量重定向到釣魚網站。SSL證書具備服務器身份認證功能，可以使DNS劫持導致的連接錯誤情況及時被發現和終止，同時HTTPS協議可以在數據傳輸中對數據進行加密傳輸，保護數據不被竊取和修改。綜上可知，在應對網絡釣魚攻擊方面，為網站、電子郵件系統部署SSL證書實現HTTPS加密是較為有效的解決方案。

更多的網絡釣魚活動在利用IPFS網絡協議

2023-04-13 09:46:20

據卡巴斯基的最新研究報告顯示，星際文件系統（IPFS）的欺詐性使用現象最近似乎有所增加。自2022年以來，IPFS一直被網絡犯罪分子用于發動電子郵件網絡釣魚攻擊。

VSole

網絡安全專家

亚洲欧美自拍唯美另类