Py学习  »  Git

网军通过建立假区块链交易网站和Github,从而分发MacOS恶意软件

黑鸟 • 4 年前 • 431 次点击  


网军创建皮包公司,这似乎是一种"都市传说",但是建立一个以假乱真的公司网站,并创建相应的假公司Github作为恶意软件分发渠道,这个最新的案例,黑鸟便来聊一聊。


该网军来自朝/鲜,名为Lazarus,作为曾经发起索尼娱乐攻击事件,针对全球金融银行SWIFT系统的攻击,以及数个针对美国、韩国军事承包商相关的攻击事件,还有影响最为深远的WannaCry勒索软件攻击,目前圈内普遍归因于其。


而本次的案例,简单来说,该组织首先,创建了一个新(伪)公司JMT Trading,网址为https://www.jmttrading.org



从网站性质来看,其为JMT币交易网站,这与Lazarus一直为敛财角色的定位一致。



点击网站的下载会跳转到Github上

https://github.com/jmttrading/JMTTrader/releases


从项目时间线来看,可见创建时间在2017年9月8号,积蓄已久。

可惜的是,在我访问了一下这个页面后,他们的账号都被封了= =然后页面也进不去了。


样本一开始由malwrhunterteam发现,并关联至卡巴斯基




其中VT查杀在10月11日均为0查杀


而安装后,实际上和普通的交易软件无异

在看过Objective的分析后,更加清楚了分析过程

https://objective-see.com/blog/blog_0x49.html


main函数


构造C&C服务器的URL:https://beastgoc.com/grepmonux.php


总结下来,该样本为Lazarus网军的AppleJeus后门,此前卡巴斯基曾写过

https://securelist.com/operation-applejeus/87553/


而由于此前其样本泄露了PDB路径,因此将该后门命名为AppleJeus。

Z:\jeus\downloader\downloader_exe_vs2010\Release\dloader.pdb


由于时间原因,不展开分析了,大家有兴趣自行查阅。


样本下载地址

https://objective-see.com/downloads/malware/AppleJeus.zip

解压密码

infect3d


上期阅读

▲点击图片



晚安和早安!
Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/47015
 
431 次点击