欢迎访问本站!

首页科技正文

usdt不用实名(www.caibao.it):Check Point Research发现了一个新的Office恶意程序生成器,名为APOMacroSploit

admin2021-02-24218恶意软件

USDT第三方支付API接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

在11月尾,Check Point Research发现了一个新的Office恶意程序天生器,名为APOMacroSploit,它与发给全球80多个用户的多封恶意电子邮件有关。

在研究人员的观察中,他们发现此工具包罗逃避Windows Defender检测的功效,而且天天举行更新以确保较低的检测率。在本文中,研究人员研究了攻击者的恶意意图,并展现了攻击者的真实身份,现在研究人员将此信息讲述给了相关的执法部门。

启用附件XLS文件的动态内容后,恶意程序熏染就最先了,而且XLM宏会自动最先下载Windows系统下令剧本。

凭据该产物的用户数量和最低选择价钱,研究人员估量两个主要攻击者仅通过出售APOMacroSploit产物,在一个半月内就至少赚了5000美元。

研究人员跟踪了与该工具相关的多种攻击示例,研究人员将详细举行讨论,而且认为此流动中使用的一种盛行RAT,以远程控制受害者的装备并窃取信息。

攻击流动先容

攻击总量

此流动涉及约莫40个差别的黑客,并行使100个差别的电子邮件发件人举行攻击。总体而言,研究人员的讲述指出,攻击发生在30多个差别的国家。

恶意文件

用户收到的最初的恶意文件是XLS文件,其中包罗混淆的XLM宏,称为Macro 4.0。当受害者打开文件并从cutt.ly下载BAT文件时,宏就会被自动触发:

恶意Macro 4.0被混淆

对恶意Macro4.0举行了混淆处置

下令“attrib”的执行使BAT剧本可以隐藏在受害者的计算机中,研究人员假设攻击者将通过Start-Sleep下令(在反混淆后可见)对PowerShell指令重新排序被视为另一种静态回避。

从cutt.ly网站下载的BAT文件

在该阶段,攻击者犯了一个要害错误,cutt.ly域直接重定向到下载服务器,而且不在后端执行请求,这些服务器托管BAT文件:

对于每个文件,客户的昵称都插入到文件名中(列表可以在下面看到)。

hxxp://193[.]239[.]147[.]76/bat 内容

Zombie99(在文件名中显示)是其中一个攻击者的昵称。

由此,研究人员获得了所有用户昵称的列表。

用户清单

BAT剧本文件将检查受害者具有哪个Windows版本,若是是以下版本,则会下载fola.exe:

Windows 10

Windows 8.1

Windows 8

Windows 7

它将恶意程序位置添加到Windows Defender的清扫路径中,禁用Windows清算,然后执行该恶意程序。

Bat文件

此外,研究人员还注重到rebrand[.]ly的一些用法,从cdn.discordapp.com重定向并下载bat文件。

APOMacroSploit

当研究人员搜索BAT文件名中的用户名时,他们发现了一个名为APOMacroSploit的恶意程序天生器的广告。这是一个宏破绽行使天生器,允许用户建立一个绕过AV,Windows Defender,绕过AMSI,Gmail和其他邮件网络钓鱼检测等的XLS文件。

该工具有一个“WD disable”选项,在执行有效载荷之前在目的装备上禁用Windows Defender,和一个“WD exclusion”选项,它将文件添加到Windows Defender,这样它就可以绕开WD。

APOMacroSploit管理员使用来自可疑网站avcheck[.]net的链接证明了他们的平安检查绕过要求,这些链接是平安检查完全未检测到的。

APOMacroSploit在XLS上建立的avcheck[.]net

APOMacroSploit由两个用户在HackForums.net上出售的:Apocaliptique(Apo)和Nitrix。

研究人员还发现了一个Discord频道,其中Nitrix被命名为工具开发人员,而Apo是管理员:https://discord.com/channels/764830353927569409/764832717267140629。

Discord频道成员

在本频道中,Nitrix和apocalypse都可以辅助购置者使用该工具,在该频道上还可以找到许多在下载服务器上可见的用户昵称。

攻击者推测

对于每个用户,Apocaliptique和Nitrix建立了一个BAT文件用于攻击:

该截图显示,这些黑客不仅出售了他们的攻击工具,而且还介入了构建和托管恶意程序的流动。

Apo Bypass团队为用户提供辅助。

Apo Bypass拥有上面显示的托管服务器

Apocaliptique使用Apo Bypass YouTube频道来宣传其工具的功效。

Apo绕过YouTube频道

如上所述,该YouTube频道订阅了55个其他YouTube频道。其中一个名为Ntx Stevy的频道吸引了研究人员的注重,由于它只有6个订阅者,其中包罗Apo Bypass。

Ntx Stevy YouTube频道

通过进一步剖析,研究人员找到了NTx Stevy频道的旧Skype地址,该帐户名称中包罗一串数字93160,它与法国的一个区域有关。

NTx Stevy YouTube频道内的对话

另一个频道也向研究人员展示了一些有趣的数据:

NTx和Stevy YouTube频道内的对话

然则到目前为止,Apo和Ntx Stevy之间还没有明确的联系。然则,研究人员确实知道APOMacroSploit的开发人员称为Nitrix。

通过搜索Nitrix的对话,研究人员看到了以下新闻

Nitrix在HackForums上谈论LOL(英雄同盟)

因此,这是从Nitrix到NTx的第一个链接。

Nitrix在Twitter上公布他的Skype帐户

在此截图中,似乎研究人员在YouTube谈论之前找到的Skype帐户与此Twitter页面相关联。因此,Ntx Stevy实际上是Nitrix,而且使用相同的召唤者名称来饰演LOL(英雄同盟)! Nitrix和Apo甚至一起玩起了游戏:

Nitrix和Apocaliptique一起玩LOL(英雄同盟)

现在,链接变得清晰了。这个由6个订阅者订阅的频道之后是Apo,由于它属于他的同伙开发者Nitrix。最后,研究人员找到了另一个与Nitrix相关的Skype帐户(在图片中被混淆),该帐户确认了研究人员已经知道的内容。

与Nitrix关联的另一个Skype帐户

通过在Skype上搜索Nitrix的身份,研究人员找到了他的名字。

Nitrix Skype帐户

在浏览了Nitrix Twitter帐户后,研究人员终于获得了他的身份:他在张贴自己在2014年12月购置的演唱会门票的照片时透露了自己的真实姓名:

Nitrix tweet

研究人员在社交媒体上寻找了这个名字,并在Facebook上找到了一个帐户,该帐户被洗脑后也有同样的照片。凭据他的Facebook帐户,Nitrix确实生活在Noisy-Le-Grand。

Nitrix Facebook账号

研究人员追踪了Nitrix 的LinkedIn页面,该页面显示了他学习的地方,以及他作为软件开发人员有4年的履历。

Nitrix LinkedIn帐户

,

Usdt第三方支付接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

现在,让研究人员看一下Apo,它在HackForums.net中的昵称是“Apocaliptique”。

Apocaliptique对HackForums上用户的回覆

研究人员发现了他的Skype昵称:apocaliptique93。

研究人员假设Apocaliptique是像Nitrix这样的法国住民,首先,广告视频中使用的语言是法语。此外,他在上面使用的伪称是“apo93”或“apocaliptique93”,而且如上所示,“93”是居住在塞纳圣但尼的法国公民的常见后缀。

Apocaliptique的Skype昵称

研究人员还看到他使用此昵称和Skype名称来玩和出售英雄同盟帐户。

Mic12使用APOMacroSploit的示例:接下来我将更详细地形貌与该攻击流动相关的几起攻击案例中常见的第二阶段的例示例。

熏染链

文件

攻击者通过电子邮件发送了以下主题:поръчка за доставка(保加利亚语的传送顺序),

生物手艺查询,皇家邮件通知:2020年11月30日,船只查询。

文件的名称与电子邮件主题相对应:spetsifikatsiya.xls,biotech.xls,royalmail.xls,boat.xls

恶意XLS文件截图

恶意程序托管服务器

其中一个BAT文件从以下位置下载恶意程序:hxxp://XXXXXXXX/royal1/helper/gd/zt/fola[.]exe,这是一个保加利亚的医疗装备和用品网站。

保加利亚网站主页

该网站看起来正当,而且可能已被攻击者入侵来存储恶意程序:

存储在保加利亚网站上的恶意程序

恶意程序

问题的恶意程序是DelphiCrypter,然后是BitRAT。

反检测机制

DelphiCrypter附带了许多反剖析手艺,这些手艺并没有诱骗研究人员的平安检测。其中包罗

rtladdvectorizeddexceptionhandler的挪用,后面加一个0以天生溃逃以中止调试器。

检查BeingDebugged标志

使用参数0h1E / 0h1F举行QueryInformationProcess挪用以搜索调试器

在恶意程序的路径位置中搜索要害字« sample », « malware »或 « sandbox »。若是找到,则执行住手。

搜索一组杀毒软件或剖析程序,若是它们正在运行,则会住手执行:

杀毒软件和剖析程序列表:

Avast:

Avastui.exe

Avastsvc.exe

Aswidsagent.exe

kaspersky:

Avgsvc.exe

Avgui.exe

AVP:

Avp.exe

Bit Defender:

Bdwtxag.exe

Bdagent.exe

Windows Defender:

M *** peng

Mpcmdrun

Nissrv.exe

Dr Web:

Dwengine.exe

ESET:

Equiproxy

Ekrn

Analysis tools:

Procexp.exe

Windbg.exe

Procmon.exe

Ollydbg.exe

Multiple delays of the malware execution.

持续性攻击

注入Notepad.exe的shellcode将VBS文件拖放到启动文件夹中,以确保恶意程序的持久性。

启动文件夹中的VBS文件

VBS删除文件的内容

然后,记事本shellcode启动恶意的ernm.exe。

在持久性攻击路径中复制恶意程序

这个恶意软件ernm.exe与fola.exe完全相同,在执行过程中,它会与%appdata%/Roaming/rtgb/ernm.exe对照路径。若是它是相等的,它将自己解包为BitRAT。(MD5: B6AD351A3EA35CAE710E124021A77CA8)

BitRAT广告

BitRAT攻击者仪表板的示例

BitRAT功效包罗:

SSL加密

XMR采矿

网络摄像头黑客

遥控

键盘记录

下载和上传文件

与TOR的兼容性

C&C

此恶意软件的C&C位于以下IP: 185[.]157[.]161[.]109,该IP已剖析到一个域,该域是保加利亚正当的视频监控系统网站的子域。

保加利亚网站

本文翻译自:https://research.checkpoint.com/2021/apomacrosploit-apocalyptical-fud-race/:

网友评论

1条评论
  • 2021-05-09 00:01:44

    皇冠APP下载是一个开放皇冠体育代理最新登录线路、皇冠体育会员最新登录线路、皇冠代理APP下载、皇冠会员APP下载、皇冠线路APP下载、皇冠电脑版下载、皇冠手机版的平台。皇冠体育APP上登录线路最新、新2皇冠网址更新最快,皇冠体育APP开放皇冠会员注册、皇冠代理开户等业务。大家聊什么呢