KeyBoy–18年下半年最新活动

alienvault.com10月8日发布报告称疑似为某国的APT组织KeyBoy的最新活动,为KeyBoy的演员于2013 年首次被确定,并且主要针对东南亚的政府和其他组织。该集团继续保持活跃,发现该组织扩大了目标范围,目标甚至包括能源部门。

最近,该组织被指控针对印度驻埃塞俄比亚大使馆使用带有附加文档的网络钓鱼电子邮件,文档触发CVE-2017-0199漏洞的开源版本。该文档将下载并执行脚本以安装最终的有效载荷。根据跟踪KeyBoy行踪的AlienVault描述,该组织还在测试另一个漏洞利用程序的使用情况。疑似为CVE-2017-8570

文件hash:f43f60b62002d0700ccbcbd9334520b6

附加的恶意文档下载并执行安装脚本:

它与GitHub上可用的流行CVE-2017-0199漏洞利用程序的相匹配。https://github.com/bhdresh/CVE-2017-0199

PDB信息:

  • C:\Users\CN_ide\Desktop\TSSL_v3.2.7_BypassSymantec_20180528\TClient\Release\FakeRun.pdb
  • D:\Work\…

安卓样本

AlienVault的安全研究人员透露,该组织还继续推出名为Titan的Android恶意软件系列。然而,虽然感染仍然存在,但只发现了较旧的文件来源。这些文件被追溯到在台湾网站(apk.tw)上发布恶意APK的用户,用于下载Android应用程序。

IOCs

Indicator type Indicator
email user234@mail.ru
email user234@gmail.com
email macafees@india.com
hostname www.hellomyanmar.info
URL http://mutecider.com:1527/
URL http://office.otzo.com/office.sct
URL http://microsoftofice.zyns.com/office.sct
URL http://microword.itemdb.com/office.sct
domain bookmarklies.com
domain hellomyanmar.info
domain manager-goog1e.com
domain mutecider.com
FileHash-SHA256 7bf4fd019411075a5d98cf966516af3ddb7b007c1b9146c264ce2e4a1572e5e8
FileHash-SHA256 831c3c40cc3fbc28b1ce1eca6bf278602c088f0580d6bdf324ef949c7d48a707
FileHash-SHA256 91dfd19376574039bc80f3af5de341dd8927993ceb5dbb269c375c150a2c3e20
FileHash-SHA256 fdb85d3f08eb70f0d2171d8bd348574139f63f31a788d2ff1b2a28aca6066345
FileHash-SHA256 bf5ee65c6f9523923f6da2eead2a01698857d5fecae661a109b81409c18c0b6b
FileHash-SHA256 c6c3678d8e6f715eda700eec776f75d1b733cab9757813cff4e206581ed8349f
FileHash-SHA256 f83562853dc530a609ed866b375ac725599d7a927281e9d6f2e46f481e3eb292
URL http://moffice.mrface.com/office.sct
URL http://offlce.dnset.com/office.sct
hostname alibabacloud.dynamic-dns.net
hostname alibabacloud.wikaba.com
hostname alibabacloud.zzux.com
hostname microsoftofice.zyns.com
hostname microword.itemdb.com
hostname moffice.mrface.com
hostname muonline.dns04.com
hostname office.otzo.com
hostname offlce.dnset.com
hostname online.ezua.com
domain muhacirder.com
domain muteciyar.info
URL http://43.251.116.221:8080/dll.dll
FileHash-MD5 058a5d47f8834fccfff8971f0544e387
FileHash-MD5 2171f4552858d6648c5b466a7b36dced
FileHash-MD5 a056a864d238a2d1355eed95b8e2bef6
FileHash-SHA256 f8867170dae5fc8cb2d03a8c7d7e53625fa96ccc7b0c62cfac4de6a936819901
hostname cdn.bookmarklies.com
hostname game.bookmarklies.com
hostname help.freetcp.com
hostname mail.bookmarklies.com
hostname www.bookmarklies.com

参考报告:https://www.alienvault.com/blogs/labs-research/delivery-keyboy

发表评论

电子邮件地址不会被公开。 必填项已用*标注