MartyMcFly:针对意大利海军的间谍攻击事件

Yoroi CERT的安全研究人员发现了几起针对意大利海军和国防工业的攻击。攻击者使用电子邮件作为媒介,通过发送特制的xls文件来攻击受害者。

邮件标题块显示攻击者试图冒充已知的海事部门和海军服务供应商,以诱导受害者打开附加的文件。截获到的第一个电子邮件中使用了公式编辑漏洞,第二个邮件中有一个名为“Company profile.pdf”的PDF文档,其中大多数名称与海军行业相关,并包含对机械部件的报价,查询或订单的引用。

攻击载荷是从一个可能被渗透的网站上下载的,下载的二进制文件中包含一个Delphi编写的可执行文件。该Delphi编写的可执行文件会内存加载一个.NET的RAT,该RAT为Github上开源的QuasarRAT.这不是白象组织用过的么?

https://marcoramilli.blogspot.com/2018/10/martymcfly-malware-targeting-naval.html

  • Malspam
    • INQUIRY FOR Engine Requisition: Spare parts: Valves: Cylinder etc
    • “Mark Van Schaick Marine” <markvanschaick.nl @qixnig[.com>
    • Mark van Schaick Enquiry – Marine Parts, Valve, Cylinder ets..xlsx
    • Mark Van Schaick Company Profile.xlsx
    • “INQUIRY MJ1409-FWS-FBR-61 / 18092867Q1/ MARINE PARTS”
    • “Cherry dan” <cherry.dan-marine @ qixnig[.com>
    • Engine_9463.xlsx
    • List of order spares parts.xlsx
    • Company Profile.pdf
    • lord.vivawebhost[.com
    • mail.dbweb[.se
  • Dropurl
    • http://apexmetalelektrik[.com/js/jquery/ui/jquery/file/alor/GEqy87.exe
  • C2
    • secureserver.marinelectricsystems[.com:4783
    • safebridge.marinelectricsystems[.com:4783
    • neumeistermcntrade[.ddns[.net:4783
    • mcntradeandreas.ddns[.net:4783
    • 79.172.242[.87:4783
  • Hash
    • a42bb4900131144aaee16d1235a22ab6d5af43407a383c3d17568dc7cfe10e64  xlsx
    • 3b5bd3d99f1192adc438fb05ab751330d871f6ebb5c22291887b007eaefbfe7b pdf
    • 1aa066e4bcc018762554428297aa734302cfbb30fef02c0382f35b37b7524a4a  exe

Cyber-Espionage Campaign Targeting the Naval Industry (“MartyMcFly”)

发表评论

电子邮件地址不会被公开。 必填项已用*标注