Patchwork APT组织针对某医疗卫生机构相关人员与巴基斯坦军备官员攻击活动分析

隐藏属性的机密文件常用制订欺诈可用。

中文名称

MD5

揭示

jli.dll

开门机密文件

msvcr71.dll

86f1895ae8c5e8b17d99ece768a70732

控制系统纳机密文件

OneDrive.exe

略带身份验证的“ja-rmi.exe”蓝机密文件

OneDrive.exe是一个略带身份验证的ja蓝机密文件，制订时时会侧加载同编目下的jli.dll开门机密文件：

jli.dll是BADNEWS”开门计算机控制系统变种，该机密文件原有了PDB路径接收者： “E:\new_ops\jlitest _change_ops -29no - Copy\Release\jlitest.pdb”。并且包含了多个嵌入有函数，而每个嵌入有函数都制订同一段欺诈文件：

欺诈文件制订时时会首先创设取名：“run”的互斥质举例来说，以此尽可能自身单举例来说列车运行。然后创设“%AppData%MicrosoftUpdate”工作编目，常用保有后续欺诈可用激发的屏幕截图等机密文件。

然后新建寄存器展开滑鼠记录，并将换取到的用户输出接收者保有到“%Temp%TPX498.dat”机密文件之前。机密文件以选定的“KLTNM:”运算符开头，后面跟着理论上控制系统的滑鼠文件标识。

然后通过wmi接口换取控制系统uuid、os等接收者后，发送给C2服务器端：“uuid=%sCouser=%sCoatcomp=%sCoos=%s”

C2回连域名“bgre.kozow[.]com”则以质地编码的作法存储在文件之前：

C2服务器端转送到上线接收者包后，时会通过下发暂存器制订其它欺诈可用：

C2暂存器与动态揭示：

C2暂存器

动态揭示

Case1

通过“dir”暂存器，遍历选定编目下的所有机密文件，将结果保有到“flst.txt”机密文件，后上载到C2服务器端。

Case2

下载机密文件，后制订。然后将“i6ofg.dat”机密文件之前的接收者后上载到C2服务器端。

Case3

未知

Case4

存取选定机密文件接收者，后上载到C2服务器端。

Case6

保有屏幕截图到%Time%.jpg，后上载到C2服务器端。

Case7

存取“TPX498.dat”滑鼠记录机密文件之前的接收者，后上载到C2服务器端。

Case12

通过“dir”暂存器，遍历“MicrosoftUpdate”工作编目下的所有机密文件，将结果保有到“flst.txt”机密文件，后上载到C2服务器端。结束进程。

Case13

未知

所有上载的接收者都以如下格的设计展开拼接：

防堵建议

安恒APT反击预警的平台并不需要发现推断或未知阻碍，的平台能实时监控、捉到和分析欺诈机密文件或计算机控制系统的阻碍性，并并不需要对电子邮件投递、防火墙利用、安装植入、回连控制等各个阶段关联的木马等欺诈抽样展开强有力的监测。

同时，的平台根据双向流量分析、智能的机器学习、高效的沙箱动态分析、丰富的构造纳、全面的检测策略、海量的阻碍情报部门等，对网络流量展开深度分析。检测并能完整覆盖整个APT反击链，有效发现APT反击、未知阻碍及用户关心的网络安全意外事件。

安恒PC卫士EDR通过“的平台+端”分布的设计地面部队，“进程阻断+诱饵引擎”双引擎防御推断及未知类型阻碍。

IOC

MD5

C2

104.143.36[.]19

193.37.212[.]216

bgre.kozow[.]com

URL

bgre.kozow[.]com/Gfg786v6fcd6v8j09jg67f6/dolist.php

bgre.kozow[.]com/Gfg786v6fcd6v8j09jg67f6/addentry2.php

bgre.kozow[.]com/Gfg786v6fcd6v8j09jg67f6/filedownload2.php

PDB

E:\new_ops\jlitest _change_ops -29no - Copy\Release\jlitest.pdb

发出！与Log4Shell相同的Ja防火墙出有现了 安全阻碍情报部门周报 “暗示”接收者泄露，前Uber首席安全官被指控 微软发出：Log4j 防火墙反击水平仍然较高 2022年需要了解的项网络安全统计接收者 独家！坎宁安局总长社交金融交易被希腊陆军上市公司黑客入侵

注：本文由E安全编译报道。

。

新疆干细胞治疗的正规医院
双醋瑞因胶囊可治什么病
孩子不吃饭怎么办
便秘了怎么办
总是便秘怎么办
导致类风湿的原因
慢性胃炎能喝蒙脱石散吗
必坦积大本特可以一起吃吗
积食推拿
扶他林和英太青凝胶哪个好