随笔分类 -  APT组织

各大APT组织:攻击事件、攻击手法、攻击武器汇总
【APT】Bitter APT组织针对巴基斯坦航空综合部门攻击活动分析
摘要:前言 蔓灵花(Bitter)是一个被广泛认为来自印度的APT组织,该组织长期针对我国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击,窃取敏感数据,具有较强的政治背景。本次分享一个蔓灵花组织针对巴基斯坦“航空领域”的攻击活动样本。该样本使用名为“PAC Advisory Committee Rep 阅读全文
posted @ 2022-01-07 14:06 SunsetR 阅读(221) 评论(0) 推荐(0)
【APT】Patchwork APT组织针对巴基斯坦国防官员攻击活动分析
摘要:前言 Patchwork(白象、摩诃草、APT-C-09、Dropping Elephant)是一个疑似具有印度国家背景的APT组织,该组织长期针对中国、巴基斯坦等南亚地区国家进行网络攻击窃密活动。本次捕获样本以“巴基斯坦国防官员住房登记”为诱饵,释放“BADNEWS”后门程序进行攻击窃密活动。 样 阅读全文
posted @ 2021-12-20 14:36 SunsetR 阅读(155) 评论(0) 推荐(0)
【APT】APT-C-41下载器组件样本分析
摘要:前言 APT-C-41(又被称为蓝色魔眼、Promethium、StrongPity),该APT组织最早的攻击活动可以追溯到2012年。该组织主要针对意大利、土耳其、比利时、叙利亚、欧洲等地区和国家进行攻击活动。本次捕获的样本是该组织常用的一个通用组件,主要功能是通过HTTPS协议回传数据(C盘序列 阅读全文
posted @ 2021-08-19 20:11 SunsetR 阅读(250) 评论(1) 推荐(0)
【APT】Donot APT组织下载器样本分析
该文被密码保护。
posted @ 2021-07-02 21:03 SunsetR 阅读(69) 评论(1) 推荐(0)
【APT】Hades APT组织针对乌克兰发起网络攻击事件分析
摘要:背景 Hades一个充满神秘色彩的APT组织,该组织因为2017年12月22日针对韩国平昌冬奥会的攻击活动被首次发现,后来卡巴斯基将该次事件的攻击组织命名为Hades。但是该攻击组织的归属问题却一直未有明确定论。一方面由于该组织在攻击事件中使用的破坏性恶意代码(Olympic Destroyer)与 阅读全文
posted @ 2021-06-26 15:22 SunsetR 阅读(358) 评论(0) 推荐(0)
【APT】海莲花组织DLL样本分析
摘要:前言 样本来源Twitter,之前的文章已经完整分析过一个类似的DLL样本,这次做个简单记录。 样本分析 样本信息如下: DLL文件共有40个导出函数: 导出函数内容基本一致,恶意代码都在DllMain函数中实现: 执行后首先获取当前模块基址并解析PE文件: 然后通过Hook IAT(导入地址表)地 阅读全文
posted @ 2021-06-23 11:18 SunsetR 阅读(402) 评论(0) 推荐(0)
【APT】响尾蛇(SideWinder)Hta文件自动解密C2
摘要:前言 一个用于从SideWinder APT组织常用的hat文件中解密C2链接地址的Python脚本,示例代码对一些老的hat文件效果比较好,新的样本可能需要根据实际情况修改下,最初是用于对VT上命中的大量样本进行批量提取C2地址用的😂 示例代码 # -*- coding: utf-8 impor 阅读全文
posted @ 2021-03-18 18:20 SunsetR 阅读(293) 评论(0) 推荐(0)
【APT】响尾蛇(SideWinder)APT组织样本分析
摘要:基础信息 名称:NDC Participants.docx类型:.docMD5:df020e81b7ca32868a8ac1f5eddd086f描述:通过远程模板注入技术加载含有CVE-2017-11882漏洞的RTF文档,执行shellcode 释放执行使用“DotNetToJScript”生成的 阅读全文
posted @ 2020-11-08 22:00 SunsetR 阅读(658) 评论(0) 推荐(2)