朝鲜的APT组织之间的代码重用分析/bokbot/漏洞工具包总结

1、发现朝鲜的APT组织之间存在代码重用，emm，合作共赢，走向小康社会。

代码重用性相关图，这个厉害了

上面都和lazarus相关，下面和Group123有关

包括代码DNA相似性，我觉得可以好好读读这篇

https://mycomputertechnology.us/cyber-security/inspecting-code-reuse-reveals-undiscovered-hyperlinks-amongst-north-koreas-malware-households/09/08/2018/.html

2、与黑产团伙Neverquest的银行木马Bokbot诞生

        Bokbot（又名：IcedID），与2017年被披露，其与76service 即后来的            Neverquest/Vawtrak 黑客团体有关，历史可追溯到2006年，之后Neverquest被逮捕并垮台。如今又出现了一个新的bokbot变种，下面为具体信息。

        76service 是一种由CRM（又名：Gozi）提供支持的大型数据挖掘服务。它能够从受害者那里收集大量数据，例如，使用formgrabbing从受感染的受害者提交给网站的表格中检索授权和登录凭据。该服务从2006年一直运行到2010年11月，后来乌克兰国民Nikita Kuzmin因行动而被捕，因此服务停止。

        而Nikita在被捕几个月前，他在一个私人小组分享了CRM的源码，因此出现了多种Gozi变种，其中最有名的要数一个名为Catch的恶意软件，又被称为Vawtrak或Neverquest。此外，其还与别的恶意软件配合使用分发。

恶意软件组	用法/功能
Dyre	在Neverquest感染上下载并执行Dyre
TinyLoader和 AbaddonPOS	在Neverquest感染上下载并执行TinyLoader。后来看到TinyLoader下载了AbaddonPOS
Chanitor / Hancitor	Neverquest利用Chanitor感染新的受害者。

        最后，在2017年1月，一个名叫Stanislav Lisov的人在西班牙被捕，不久后，Neverquest后端服务器下线，欺诈行动因此再次结束。

现在，与这个团伙相关的bokbot样本出现了，其通过emotet进行分发。详细可见

https://blog.fox-it.com/2018/08/09/bokbot-the-rebirth-of-a-banker/

3、漏洞工具包总结，见下面那篇文章

进公众号历史消息应该是有的

4、几个guo jia队情报，进星球内查看

———more———————