【安全資訊】黑客組織Higaisa近期攻擊活動報告
騰訊安全威脅情報中心檢測到APT組織higaisa(黑格莎)在被披露后經過改頭換面再次發動新一輪的攻擊,在這輪攻擊中,該組織舍棄了使用多年的dropper,完全重寫了攻擊誘餌,還引入了dll側加載(白加黑)技術對抗安全軟件的檢測和查殺。與以往的攻擊手段類似,higaisa(黑格莎)依然以節假日祝福為主題誘餌進行魚叉式釣魚攻擊,欺騙用戶下載并打開附件木馬。該組織對dropper木馬進行了重寫,舍棄了原來將payload存放在資源及使用“higaisa”作為密鑰進行rc4解密的方式,直接從數據段中解密(XOR 0x1A)釋放惡意文件到指定目錄并執行。本輪攻擊dropper利用“白+黑”的方式加載Downloader模塊,該組織對其Downloader也進行了改版,新一批downloader下載功能均基于老版本的curl開源代碼實現,最終下載了infostealer和gh0st RAT, infostealer文件的主要行為是獲取計算機信息,并發送到C2地址185.247.230.252。
研究人員發現,后期攻擊者會對不同的受害者下載gh0st改版木馬駐留受害者系統,目前一共在受害者機器上發現了3個不同版本的gh0st木馬。
研究人員發現,后期攻擊者會對不同的受害者下載gh0st改版木馬駐留受害者系統,目前一共在受害者機器上發現了3個不同版本的gh0st木馬。
失陷指標(IOC)20
這么重要的IOC情報,趕緊
登錄
來看看吧~
0條評論
看了這么久,請
登錄
,對他說點啥~
0
0
分享
微信掃一掃分享