admin管理员组文章数量:1659520
诱导方式
1、含有正常APP功能的伪装
2、文件图标伪装
RAR
1、Android
DroidJack
SpyNote
Windows
njRAT
njRAT[2]又称Bladabindi,通过控制端可以操作受控端的注册表,进程,文件等,还可以对被控端的键盘进行记录。同时njRAT采用了插件机制,可以通过不同的插件来扩展njRAT的功能。
该组织在使用njRAT时大多不是直接使用,而是在njRAT的基础上进行了二次封装,使用C#为njRAT加了一层壳,并对壳的代码进行了大量的混淆。该壳的作用是在内存中加载njRAT运行,防止njRAT被杀毒软件检测,而上述提到的Amaq网站被该组织用来水坑攻击时使用的伪装成Adobe Flash Player就属于这种。
H-Worm
H-Worm是一个基于VBS(Visual Basic Script)的RAT,该RAT情况信息可参阅FireEye之前发表的详细报告《Now You See Me - H-worm by Houdini》[3]。此次攻击使用的是混淆变异后的H-Worm版本,去除混淆后进行分析,我们发现其指令列表并无变化。
指令 功能
excecute 执行服务端命令
update 更新载荷
uninstall 卸载自身
send 下载文件
site-send 指定网站下载文件
recv 上传数据
enum-driver 枚举驱动
enum-faf 枚举指定目录下的文件
enum-process 枚举进程
cmd-shell 执行shell
delete 删除文件
exit-process 结束进程
sleep 设置脚本休眠时间
Fkn0wned
fkn0wned是一款通过VB.NET编写的RAT,此次攻击使用的属于一个早期版本,仅接收“DOWNLOAD”指令,DDoS功能代码并未起作用,该RAT实际是个下载者。
溯源与关联
通过对此次拍拍熊攻击活动的分析,结合之前对黄金鼠组织的分析,两个组织除掉攻击目标和各自的专属RAT外,两者在下面几个方面有很强的关联性。
- 均熟悉阿拉伯语,持续数年针对Android和Windows平台,擅长水坑攻击。
- 均使用多种RAT,其中大多数双方都有使用。
- 两个组织在两个时间段内使用了处于同一网段的C&C。
隐藏自身的技术
http://duckdns/install.jsp
比特币支付的免费DNS
来源
http://blogs.360/post/analysis-of-apt-c-37.html
转载于:https://wwwblogs/17bdw/p/10683277.html
版权声明:本文标题:拍拍熊(APT-C-37),诱导方式、DNS、安卓远控 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1729837508a1214486.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论