LuminousMoth样本分析报告
source link: https://www.heibai.org/2016.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
2021年7月,卡巴斯基发现一种针对东南亚的攻击活动,被称作LuminoutMoth。该活动至少可以追溯到2020年10月,早期的攻击大多在缅甸但现在主要在菲律宾,目前发现缅甸共有100多名受害者,菲律宾有1,400名受害者,其中一些受害者是政府实体。
APT组织向受害者发送包含Dropbox下载链接的钓鱼邮件,通过将file_subpath
参数设置为指向带有.DOCX
后缀的文件名,该链接指向一个伪装成Word文档的RAR压缩包。
hxxps://www.dropbox[.]com/s/esh1ywo9irbexvd/COVID-19%20Case%2012-11-2020.rar?dl=0&file_subpath=%2FCOVID-19+Case+12-11-2020%2FCOVID-19+Case+12-11-2020(2).docx
压缩包中包含两个恶意DLL和两个加载DLL的合法可执行程序。
RAR中两个恶意DLL分别名为wwlib.dll
和version.dll
,两个合法的可执行程序分别为winword.exe
和igfxem.exe
,分别加载恶意的DLL。winword.exe
是Microsoft Word
的主程序,而igfxem.exe
是intel核心显卡的驱动程序软件。
version.dll
文件名version.dllMD50f8b7a64336b4315cc0a2e6171ab027eSHA12d0296ac56db3298163bf3f6b622fdc319a9be23SHA25659b8167afba63b9b4fa4369e6664f274c4e2760a4e2ae4ee12d43c07c9655e0f编译时间2020-12-24 15:20:16文件类型Win32 DLLversion.dll在DLLMain中提供三种参数情况,第一种是无参数,第二种参数为system
,第三种参数为assist
。
首先通过检测父进程是否为explorer.exe
来检测是否被调试。
创建文件夹c:\\users\\public\\Documents\\Shared Virtual Machines\\
,并设置为系统隐藏文件夹。
之后将四个目标文件复制到信创建的文件夹。
创建igfxEM.exe
进程,并传参assist
传参assist
首先创建一个名为nfvlqfnlqwnlf
启动WINWORD.EXE
。
将igfxEM.exe写入到开机自启。
启动新线程sub_10013E3
,并创建新进程调用system
参数。
遍历除C盘下根目录所有文件。
在当前目录下创建udisk.log
并写入。
参数为system
新建一个事件qjlfqwle21ljl
。
寻找除C盘外的其他盘符
在其他盘符下创建一个隐藏文件夹
将igfxEM.exe
复制到目录下重命名为USB Driver.exe
。
移动用户的所有文件到该隐藏目录
wwlib.dll
文件名wwlib.dllMD54fbc4835746a9c64f8d697659bfe8554SHA1b43d7317d3144c760d82c4c7506eba1143821ac1SHA25695bcc8c3d9d23289b4ff284cb685b741fe92949be35c69c1faa3a3846f1ab947编译时间2020-12-24 16:25:39文件类型Win32 DLLpdbC:\Users\USER\Desktop\白加黑\1.35M WinWord - 副本\libhwcodec\Release\wwlib.pdb创建互斥体防止运行多次
之后与103.15.28[.]195
通信,可以看到这部分为Cobalt Strike
的特征,与C2通信并下载新的载荷,创建新线程。
分析时该C2已经关闭服务,猜测后续可能是使用Cobalt Strike
进行远控。
103.15.28[.]195
4fbc4835746a9c64f8d697659bfe8554
0f8b7a64336b4315cc0a2e6171ab027e
https://securelist.com/apt-luminousmoth/103332/
文由ChaMd5
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK