USDT第三方支付平台

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

趋势科技的研究职员最近新发现了疑似来自MuddyWater的流动,本次流动的目的是中东和周边区域的种种组织。

MuddyWater流动是在2017年底被考察到的,每隔一段时间就会活跃一次。自2017年11月被曝光以来,不只没有住手攻击,反而加倍起劲地改善攻击性能,在土耳其等国家连续活跃,主要攻击目的集中在 *** 、金融、能源、电信等行业用户。“MuddyWater”组织,又称T-APT-14,多以从事特工流动为目的,受害者主要漫衍在巴基斯坦、沙特 *** 、阿联酋和伊拉克等国家。据腾讯平安反病毒实验室剖析发现,该APT组织显著的攻击行为特点为善于行使Powershell等剧本后门,通过Powershell在内存中执行,削减新的PE文件在受害者机械落地。这种方式使得该组织的样本有着较低的检测率,另一方面也加大了平安机构的取证难度。现在该APT组织已有成熟的js、Powershell后门程序和完整的混淆反查杀流程。此外,该APT组织正起劲探索非PE文件后门,或意图提议更大规模的网络攻击。

趋势科技的研究职员最近发现了针对中东和周边区域种种组织的流动,他们也是从Anomali的研究中得知了这一流动的,该公司还发现了一场针对类似受害者的流动。Anomali ThreatStream群集了数以万计的攻击情报信息来识别新的攻击,并发现已知的破绽,使平安团队能够快速发现并阻止相关攻击。 其主要功效包罗:重复数据删除,祛除误报,与其他平安工具集成,并防止钓鱼邮件窃取你的数据。 该公司还提供几个免费的攻击情报工具。这种新发现的流动与MuddyWater(也被称为TEMP.Zagros, Static Kitten, Seedworm)有关。

此外,研究职员能够将这种异常流动与2021年正在举行的流动联系起来。此流动使用以下正当的远程治理工具,如:

1.ScreenConnect,ScreenConnect是一款能够平安快速远程接见用户屏幕的程序,在互联网远程任何一台电脑,并能够与他人分享自己的屏幕。只需点击几下,任何人在任何操作系统上立刻毗邻。随着ScreenConnect您可以:远程控制任何一台电脑在互联网上,接见无人值守的盘算机,与其他人分享自己的屏幕;

2.RemoteUtilities,Remote Utilities是一款远程控制程序,行使这款程序可以对多台电脑举行控制,让你远程就能控制自己的电脑,支持文件传输,电源治理,屏幕录制等功效。其焦点功效不需要任何Web基础结构,该程序适用于完全隔离的网络和/或具有有限或无法接见Internet,毗邻主盘算机后,用户可以查看实时查看屏幕,发送文件和执行种种操作,就似乎他们正在操作自己的盘算机一样。它可以在完全隔离的网络中运行,无需依赖任何Web基础结构。

现在,研究职员将这次攻击命名为Earth Vetala。Earth Vetala使用带有嵌入式链接的鱼叉式电子邮件,这些链接指向正当的文件共享服务,以流传其恶意程序包。链接嵌入在诱饵文档以及电子邮件中。

一旦接见了受害者,攻击者就会确定该用户帐户是治理员照样通俗用户。然后,他们将下载行使后的工具,其中包罗密码/历程转储适用程序,反向隧道工具和自界说后门。然后,攻击者将启动与其他下令和控制(C&C)基础结构的通讯,以执行模糊的PowerShell剧本。

Earth Vetala先容

剖析解释,Earth Vetala流动正在举行中,该攻击者幕后谋划者应该是伊朗 *** 。

Earth Vetala历史上就多次以中东国家为目的,在这次流动中,Earth Vetala的攻击者使用了伪造的电子邮件,并使用引诱文件攻击了 *** 团结酋长国、沙特 *** 、以色列和阿塞拜疆内的组织。网络钓鱼电子邮件和诱饵文档包罗嵌入的URL,这些URL链接到正当的文件共享服务,以流传包罗ScreenConnect远程治理员工具的档案。 ScreenConnect是正当的应用程序,它允许系统治理员远程治理其企业系统。

研究发现与Anomali识别出的统一攻击流动相关的攻击指标,剖析解释,住手本文宣布时,Earth Vetala仍在举行中。在这次流动中,攻击者使用了后行使工具转储密码,使用开源工具确立了C&C通讯的通道,并使用其他C&C基础结构在目的主机和环境中确立持久存在。

手艺剖析

在现在的研究历程中,研究职员发现了一封据称来自 *** 机构的鱼叉式钓鱼邮件。

带有嵌入式URL的网络钓鱼电子邮件

该电子邮件试图说服收件人点击URL并下载恶意文件。研究职员已经看到两个文件中的一个可能被下载,一个是.PDF文件,另一个是.RTF文件:

带有嵌入式URL的诱饵PDF

带有嵌入式URL的诱饵RTF文档

与鱼叉式电子邮件一样,诱饵文档的内容试图说服受害者点击另一个恶意URL并下载.ZIP文件。

.ZIP文件包罗由RemoteUtilities开发的正当远程治理程序的副本,并提供远程治理功效,其中包罗:

1.下载和上传文件。

2.抓取屏幕截图。

3.浏览文件和目录。

4.执行和终止历程。

在研究历程中,研究职员发现了多个用于以上述方式流传RemoteUtilities远程治理程序的.ZIP文件,所有这些文件均流传相同的RemoteUtilities示例。该工具的使用使该特定流动与早期研究有所差异,就像在先前的攻击中使用ScreenConnect一样。否则,所使用的TTP仍然大致相似。

RemoteUtilities剖析

执行RemoteUtilities程序时,其历程使用以下下令启动msiexec.exe:

RemoteUtilities安装

MSI安装程序在受害盘算机上安装名为“RemoteUtilities–主机”的服务:

RemoteUtilities服务

然后,该服务与属于RemoteUtilities的域id.remoteutilities.com通讯。此毗邻与其称为Internet-ID毗邻的功效之一有关。与署理服务器类似,此功效允许中央Internet服务器署理毗邻。这使攻击者可以毗邻到Internet-ID服务器,然后再将其毗邻到现实的RemoteUtilities主机。

id-server毗邻

Post-Exploitation剖析

在研究时代,研究职员在沙特 *** 发现了一个使用ScreenConnect远程治理程序的受熏染主机。它们是通过包罗ScreenConnect可执行文件(SHA256哈希:2f429efdb1801892ec8a2bcdd00a44d6ee31df04721482)的恶意.ZIP文件(SHA256哈希:b2f429efdb1801892ec8a2bcdd00a44d6ee31df04721482a1927fc6df554cdcf)定位的

如上所述,ScreenConnect可执行文件毗邻到Internet-ID服务器,该服务器位于instancesy9at2-relay.screenconnect.com,并剖析为51.68.244.39。

在先前的研究中提到了相同的域,然后研究职员考察到攻击者使用ScreenConnect程序与受熏染主机举行交互,执行以下下令。

上面的下令允许攻击者从域控制器获取所有用户。

下一个执行的下令如下:

这是执行某种PowerShell剧本的下令。然则,研究职员无权接见a.ps1文件。以是研究职员不确定此处提供了什么功效。

下一个发出的下令如下:

该下令已毗邻到187.236.212[.]184,并下载了一个名为SharpChisel.exe的文件(SHA256:61f83466b512eb12fc82441259a5205f076254546a7726a2e3e983011898e4e2)并将该文件保留到C:\programdata目录。SharpChisel这个名字可能与这个文件的用途有关,该文件是名为chisel的隧道工具的C#封装器,上面的IP地址位于伊朗的服务器上。

然后使用以下下令设置SharpChisel:

这会将所有流量定向到端口9999处的内陆主机到统一远程服务器。

执行具有差异设置的SharpChisel的另一个实例,这次使用PowerShell使用以下下令行:

这次,流量将通过端口443转发到服务器。

通过以下下令启动在23.95.215.100:8080处毗邻到另一台C&C服务器的第三个SharpChisel实例:

然后,使用以下下令行PowerShell下令对其举行设置:

研究职员以为攻击者无法设置SharpChisel以使其正常事情,使用以下下令可提供其他证据来支持研究职员的假设:

,

usdt收款平台

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

该下令毗邻到C&C服务器,下载procdump64.exe,然后将文件保留在C:\programdata目录中。这支持了研究职员的假设,即SharpChisel无法准确设置,而且攻击者使用PowerShell来下载并运行正当的procdump64.exe适用程序。

LIGOLO执行示例

这是使用两个单独的下令完成的:

然后,研究职员使用以下下令再次看到攻击者实验多次使用SharpChisel:

研究职员得出结论,纵然实验使用两种差其余工具确立与C&C服务器的隧道毗邻,也无法确立。

在试图设置到他们的C&C服务器的隧道毗邻失败后,攻击者下载了一个远程接见工具(RAT)并试图设置它。使用了以下PowerShell下令:

该下令下载out1.exe并将文件保留在C:\users\public\目录中,使用UPX解压缩程序,研究职员可以提取内容,其中包罗Puthon可执行文件。然后,研究职员使用pyinstxtractor.py反编译python可执行文件,以获取所有Python字节码文件,然后使用easypythondecompiler将它们反编译以获得原始的python代码。

out1.exe RAT具有以下功效:

资料编码;

电子邮件剖析;

文件和注册表副本;

HTTP / S毗邻支持;

本机下令行;

流程和文件执行;

之后,运行文件C:\users\public\Browser64.exe是一个从以下应用程序提取凭证的工具:

Chrome

Chromium

Firefox

Opera

Internet Explorer

Outlook

Browser64.exe的使用示例

使用browser64.exe之后,研究职员考察到以下下令正在执行:

他们再次实验使用SharpChisel,但没有乐成:

最后,研究职员考察到攻击者正在使用以下下令设置持久性机制:

研究职员能够获得new *** log.js的副本,这是一个简朴的VBS下载程序,可与以下URL举行通讯:

hxxp://23[.]95[.]215[.]100:8008/index.jsp/7e95a3d753cc4a17793ef9513e030b49/4t2Fg7k6wWRnKgd9

new *** log.js

该剧本设置了一个新的HTTP工具,然后实验禁用系统的内陆署理设置。然后,剧本对C&C URL执行HTTP GET请求,获取服务器的响应,然后休眠10秒钟。

在研究职员举行剖析时,该服务器仍然可用。服务器的响应包罗已编码的PowerShell剧本,该剧本在内存中执行。对该剧本举行解码可以发现它包罗一个后门:

经由混淆处置的PowerShell后门

上面的屏幕截图显示了内存中PowerShell后门的简化视图,PowerShell后门具有以下功效:

检查Skype毗邻;

下载并安装Skype;

与C2的编码通讯;

执行从C2服务器发送的下令;

获取多因素身份验证设置;

获取当前登录的用户和操作系统版本;

Earth Vetala的攻击局限

Earth Vetala针对多个国家举行了攻击,研究职员考察到它在以下国家/区域发生了攻击:

阿塞拜疆;

巴林;

以色列;

沙特 *** ;

*** 团结酋长国;

受影响的国家

研究职员考察到Earth Vetala针对以下领域提议了攻击:

*** 机构;

学术界;

旅游;

总结

Earth Vetala代表着一种有趣的攻击的生长偏向,只管它具有远程接见功效,但攻击者似乎缺乏准确使用所有这些工具的专业知识。这是出乎意料的,由于研究职员以为该攻击与MuddyWater攻击组织有关,在其他关联流动中,攻击者显示出更高的手艺水平。

本文翻译自:https://www.trendmicro.com/en_us/research/21/c/earth-vetala---muddywater-continues-to-target-organizations-in-t.html: USDT官网接口声明:该文看法仅代表作者自己,与本平台无关。转载请注明:usdt教程网(www.caibao.it):MuddyWater幕后组织新开发的一种恶意程序——Earth Vetala正向中东区域提议攻击
发布评论

分享到:

usdt充值(www.caibao.it):第一考察|一二三!总书记为何加入这两个界别联组会?
6 条回复
  1. 皇冠app怎么下载
    皇冠app怎么下载
    (2021-06-28 00:05:59) 1#

    USDT场外交易www.Uotc.vip),全球頂尖的USDT場外擔保交易平臺。

    致敬作者

    1. 新2足球网址
      新2足球网址
      (2021-06-28 06:10:18)     

      ALLBET官网娱乐平台开户是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

      谁猜一猜结局

  2. 皇冠足球app
    皇冠足球app
    (2021-07-30 00:00:13) 2#

    足球免费推介www.zq68.vip)是国内最权威的足球赛事报道、预测平台。免费提供赛事直播,免费足球贴士,免费足球推介,免费专家贴士,免费足球推荐,最专业的足球心水网。

    无聊来看看。

  3. 新2代理网址
    新2代理网址
    (2021-08-16 00:06:45) 3#

    值得一提的是,此次“回避”观察事情的彼得·达扎克是天下卫生组织病原体照料、美国非营利组织生态康健同盟(EcoHealth Alliance)主席,早在2020年12月,他就被《柳叶刀》列为稀奇事情组的主席。2021年,他又作为世卫组织团结专家组外方组长赶赴武汉举行病毒溯源观察。 哈哈哈,大家都在呀

  4. 皇冠足球
    皇冠足球
    (2021-08-17 00:02:28) 4#

    欧博allbet网址www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

    难怪好多人夸

    1. 登1登2登3代理
      登1登2登3代理
      (2021-08-25 18:06:14)     

      Usdt第三方支付接口这个网站很全

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。