朝鲜的APT组织之间的代码重用分析/bokbot/漏洞工具包总结

1、发现朝鲜的APT组织之间存在代码重用,emm,合作共赢,走向小康社会。

朝鲜的APT组织之间的代码重用分析/bokbot/漏洞工具包总结_第1张图片

代码重用性相关图,这个厉害了

朝鲜的APT组织之间的代码重用分析/bokbot/漏洞工具包总结_第2张图片

上面都和lazarus相关,下面和Group123有关

朝鲜的APT组织之间的代码重用分析/bokbot/漏洞工具包总结_第3张图片

包括代码DNA相似性,我觉得可以好好读读这篇

朝鲜的APT组织之间的代码重用分析/bokbot/漏洞工具包总结_第4张图片

https://mycomputertechnology.us/cyber-security/inspecting-code-reuse-reveals-undiscovered-hyperlinks-amongst-north-koreas-malware-households/09/08/2018/.html

2、与黑产团伙Neverquest的银行木马Bokbot诞生

        Bokbot(又名:IcedID),与2017年被披露,其与76service 即后来的            Neverquest/Vawtrak 黑客团体有关,历史可追溯到2006年,之后Neverquest被逮捕并垮台。如今又出现了一个新的bokbot变种,下面为具体信息。

        76service 是一种由CRM(又名:Gozi)提供支持的大型数据挖掘服务。它能够从受害者那里收集大量数据,例如,使用formgrabbing从受感染的受害者提交给网站的表格中检索授权和登录凭据。该服务从2006年一直运行到2010年11月,后来乌克兰国民Nikita Kuzmin因行动而被捕,因此服务停止。

朝鲜的APT组织之间的代码重用分析/bokbot/漏洞工具包总结_第5张图片

        而Nikita在被捕几个月前,他在一个私人小组分享了CRM的源码,因此出现了多种Gozi变种,其中最有名的要数一个名为Catch的恶意软件,又被称为Vawtrak或Neverquest。此外,其还与别的恶意软件配合使用分发。

恶意软件组

用法/功能

Dyre

Neverquest感染上下载并执行Dyre

TinyLoader

AbaddonPOS

Neverquest感染上下载并执行TinyLoader。后来看到TinyLoader下载了AbaddonPOS

Chanitor / Hancitor

Neverquest利用Chanitor感染新的受害者。

        最后,在2017年1月,一个名叫Stanislav Lisov的人在西班牙被捕,不久后,Neverquest后端服务器下线,欺诈行动因此再次结束。

现在,与这个团伙相关的bokbot样本出现了,其通过emotet进行分发。详细可见

https://blog.fox-it.com/2018/08/09/bokbot-the-rebirth-of-a-banker/

3、漏洞工具包总结,见下面那篇文章

进公众号历史消息应该是有的

4、几个guo jia队情报,进星球内查看

———more———————

朝鲜的APT组织之间的代码重用分析/bokbot/漏洞工具包总结_第6张图片

你可能感兴趣的:(朝鲜的APT组织之间的代码重用分析/bokbot/漏洞工具包总结)