cybereason:Molerats 组织滥用云服务的攻击活动分析
00 摘要
2020年2月,Cybereason报告称发现了Spark和Pierogi后门,其很可能被用于针对巴勒斯坦官员的定向攻击活动。研究人员认为攻击是由Molerats组织(又名Gaza Cybergang)发动的,这是一个讲阿拉伯语,有政治动机的APT组织。该组织自2012年以来一直在中东地区活动。
从发现该组织以来,Cybereason Nocturnus团队一直在追踪该组织,并且在最近几个月中发现了一个新活动,该活动利用了两个之前未被发现的后门(SharpStage,DropBook)和一个名为MoleNet的下载器。新的恶意软件库专门用于秘密间谍活动,主要针对中东地区讲阿拉伯语的目标,包括巴勒斯坦,阿联酋、埃及以及土耳其的非阿拉伯语的目标。
这次最新的活动利用社会工程学来发送钓鱼文件,其中包括与当前中东事务有关的各种诱饵主题。其中钓鱼活动的主题包括:
提及以色列与邻国阿拉伯国家的关系:特别是媒体报道的沙特王储穆罕默德·本·萨勒曼殿下(Mohammed bin Salman)、美国国务卿迈克·蓬佩奥(Mike Pompeo)和以色列总理本雅明·内塔尼亚胡(Benjamin Netanyahu)最近的会晤。
提及巴勒斯坦的政治事务:该活动利用了与巴勒斯坦政治事件和公众人物有关的不同主题:
哈马斯内部选举
巴勒斯坦人民斗争阵线(PPSF)秘书长艾哈迈德·马吉达拉尼博士
据称可能是由巴勒斯坦解放人民阵线(PFLP)撰写的虚假文件,其中详细描述了为解放巴勒斯坦人民阵线53周年庆祝活动所做的准备工作
新发现的后门是与之前报道的Spark后门一起发送的,这与之前的活动有相似之处,进一步说明了对Molerats身份的认定。
SharpStage和DropBook后门都是以一种隐蔽的方式运行的,利用了合法的云存储服务Dropbox 从受害者计算机中窃取被盗的信息,以此来逃避检测。此外,还发现,DropBook是一个基于Python的后门,利用了社交媒体平台Facebook,通过创建虚假账户来控制后门。DropBook与武器库中的其他间谍工具不同,因为它只依赖虚假的Facebook账户,来接收攻击者的控制指令。
此外,研究人员还发现了土耳其语的钓鱼文件。
最后,研究人员还发现了Molerats组织的另一个活动,其使用了Pierogi后门的一个新变种来攻击同样感染了Spark、SharpStage和DropBook后门的类似目标。这种技术重叠,让研究人员认为Molerats和APT-C-23 (Arid Viper)组织之间存在关联,并且他们都隶属于Gaza Cybergang组织。
图1 Molerats最新活动的感染链
关键字:Molerats组织、钓鱼邮件、滥用云服务
01 主要发现
攻击者是molerats(又名Gaza Cybergang):一个说阿拉伯语、有政治动机的组织,自2012年以来一直在中东地区活动。
Molerats开发的新间谍工具:Cybereason发现了两种名为SharpStage和DropBook的新后门,以及MoleNet 下载器,这些都能让攻击者执行任意代码,并收集敏感数据,以从受感染的计算机中窃取数据。新发现的后门与之前报道的Spark后门(当时归因于Molerats)一起使用。
针对整个中东地区:Cybereason认为,这些活动运营者将目标对准中东地区的高级政治人物和政府官员,包括巴勒斯坦、阿联酋、埃及和土耳其。
政治钓鱼主题:用来引诱受害者的主题包括以色列与沙特的关系、哈马斯选举、巴勒斯坦政治人物以及其他近期政治事件,包括最近沙特王储穆罕默德·本·萨勒曼殿下(Mohammed bin Salman)、美国国务卿迈克·蓬佩奥(Mike Pompeo)和以色列总理本雅明·内塔尼亚胡(Benjamin Netanyahu)最近的会晤。
滥用Facebook,Google Docs,Dropbox和Simplenote平台:新发现的DropBook后门使用伪造的Facebook帐户或Simplenote进行命令和控制(C2),SharpStage和DropBook都实现了Dropbox客户端,以从其客户端中窃取数据并转移到云存储,以及存储其间谍工具。
与Pierogi后门的连接:分析显示,新发现的后门Spark和先前报告的Pierogi后门之间存在相关性。Cybereason认为它们是由具有相同利益的不同团队或同一威胁攻击者开发的。
使用Quasar RAT工具:攻击者使用了新的间谍工具,从DropBox下载了其他有效负载,其中包括 Gaza Cybergang使用过的开源工具Quasar RAT。
02 Molerats的新恶意软件分析
在寻找对中东的威胁时,Cybereason Nocturnus团队偶然发现了一些独特的恶意软件样本,经分析是没有文档记录的。这两个后门分别是SharpStage,和DropBook,还有一个叫MoleNet 的下载器,它们在TTPs和钓鱼的主题上有许多相似之处,同时也使用了Spark后门(之前Molerats组织使用过)。
众所周知,molerat使用政治和中东主题的网络钓鱼文件来引诱他们的受害者,这次他们利用最近发生的政治事件,包括以色列和阿拉伯国家之间的和平协议。
图2 基础设施概览
其中一份钓鱼文件是一个名为“mb - israel”的PDF文件,其中引用了以色列总理本杰明·内塔尼亚胡与沙特王储穆罕默德·本·萨勒曼殿下最近的会谈:
图3 据VirusTotal称,PDF格式的钓鱼文档的检测率为零
图4 MBS-Israel.pdf文件的内容
PDF内容诱导受害者从Dropbox或谷歌云端硬盘下载受密码保护的压缩包。
表1
| 嵌入式链接 | 压缩包类型和SHA-256哈希 |
|---|---|
| https://www.dropbox[.]com/s/r81t6y7yr8w2ymc/MOM.zip?dl=1 | Zip 压缩包58f926d9bd70c144f8697905bf81dfff046a12929639dfba3a6bd30a26367823 |
| https://drive.google[.]com/uc?export=download&id=1NnMlUPwkxK4_wAJwrqxqBAfdKCPDxyeh | RAR 压缩包d7675b5c1a47b876b505bf6fd8dc9ea3b35520c13408450df8807a1a5c24da68 |
图5 使用PDF下载的有效负载
两个新文件是SharpStage和DropBook:
| 文件名 | 分类 | SHA-256 |
|---|---|---|
| Details Crown Prince held’secret meeting’ with IsraeliPM.Nov.23.20.MoM.exe | SharpStage 后们 | 69af17199ede144d1c743146d4a7b7709b765e57375d4a4200ea742dabef75ef |
| Details of MBS meeting withthe US Secretary of State.Nov.23.20.MoM.exe | Spark 后门 | 54eadcd0b93f0708c8621d2d8d1fb4016f617680b3b0496343a9b3fed429aaf9 |
| Talking points for meeting.exe | DropBook后门 | 2578cbf4980569b372e06cf414c3da9e29226df4612e2fc6c56793f77f8429d8 |
有趣的是,在不同的恶意软件中,Gaza Cybergang伪造的微软Word图标始终保持不变:
表3
| SharpStage | DropBook | Pierogi | Spark |
|---|---|---|---|
 |  |  |  |
根据VirusTotal的报告,新发现的SharpStage后门的检测率非常低:
图6 SharpStage样本的检测率
Cybereason Nocturnus团队还发现了SharpStage的C2域名中使用不同主题的URL:
http://artlifelondon[.]com/hamas_internal_elections.rar
https://www.artlifelondon[.]com/Hamas.php
https://forextradingtipsblog[.]com/SaudiRecognitionofIsrael.php
https://forextradingtipsblog[.]com/AhmedMajdalani.php1. SharpStage后门的分析
SharpStage后门是具有后门功能的.NET恶意软件。Cybereason Nocturnus团队能够识别出SharpStage后门的三种变体,这些变体正在不断开发中,其中两个共享硬编码互斥体71C19A8DC5F144E5AA9B8E896AE0BFD7:
图7 SharpStage 代码互斥体
这些样本的编译时间在2020年10月4日至11月29日之间。这三个样本都包含相似的功能(只是几个函数有一些变化),并着重于代码混淆、代码模块化、日志记录和连接性检查,以便于进一步执行。此外,每个都有自己的持久性组件。
SharpStage后门具有以下功能,其中某些功能取决于从C2接收的命令:
截屏:SharpStage后门可以捕获受害者的屏幕。
针对讲阿拉伯语的用户:SharpStage检查受害者的机器是否为阿拉伯语,从而避免在不相关的设备上执行,并且能够避免大多数沙箱。
Dropbox客户端:SharpStage后门通过API实现了一个Dropbox客户端,通过与Dropbox服务器通信,可以下载其他模块、上传窃取的数据。
Powershell、命令行和WMI执行:当收到C2的命令时,SharpStage可以执行任意命令。
下载并执行其他文件:该恶意软件能够下载并执行其他有效负载。
解压缩包:除了下载,SharpStage还可以解压从C2下载的压缩包,其中包含SharpStage有效负载和持久性模块的数据。
如下图所示,Cybereason检测到SharpStage的感染链。在此变体中,持久性组件是“shearS.exe”。其为下载的“shear”样本(SharpStage有效负载)编写计划任务。一般来说,无论SharpStage的主模块叫什么名称,持久化组件的名称都包含“S”:
图8 SharpStage的进程树
(1)SharpStage Dropper(早期版本)
第一个变种包装在dropper中, 该dropper将有效负载(SharpStage后门)写入temp和startup文件夹:
图9 从系统中检索temp和startup文件夹
恶意软件的复制和执行是通过创建一个Windows资源管理器实例来完成的:
图10 创建Windows资源管理器进程
此外,dropper通过创建注册表键值,实现开机自启动:
图11 通过注册表创建持久性
(2)第二阶段植入物(后续版本)
从Cybereason流程树中可以看出,从C2下载了名为“ shear”的SharpStage新版变种,以及一个名为“ shearS”的小文件。其中“ shearS”为“ shear”创建了持久性,并且收集一些受害机器的软硬件信息:
图12 由持久化组件收集系统信息
当创建持久性时,schtasks被用来创建一个新的“share”计划任务。只需通过删除“ shearS”末尾的“ S”来完成对以下“ shear”的引用:
图13 在持久性组件中创建计划任务
(3)SharpStage核心功能
Dropper从C2下载的SharpStage后门具有多种功能,包括Dropbox客户端功能以及检查当前机器是否为阿拉伯语,从而实现只在目标机器上执行恶意功能,逃避沙箱的检测(通常运行沙箱的系统默认语言是英文)。
在进行语言检查之前,后门会自动捕获屏幕并将图像保存在%temp%文件夹中:
图14 捕获受害者的屏幕
如上所述,恶意软件会检查是否存在阿拉伯语键盘。如果找到这样的键盘布局,“startLoop”标志将被设置为“true”,然后继续执行到连接C2并获得进一步指令:
图15 检查阿拉伯语键盘并更新相应的标志
GetUpload函数中含有后门功能。在连接C2之后,SharpStage启动解析命令:
图16 连接C2并初始化与命令相关的变量
如下图所示,该恶意软件从C2解析与命令行、Powershell和WMI执行相关的命令,然后初始化相关变量。此外,为了下载另一个文件,它启动了一个Dropbox客户端——使用“AcessTo”变量(之前从C2获得的一个令牌)启动的:
图17 从C2解析命令并启动Dropbox客户端
攻击者的Dropbox帐户用于下载其他文件,还可以使用网址和安全链接来完成下载:
图 18 下载其他文件
下面的代码实现了命令执行的切换条件,并根据收到的命令使用命令行、Powershell或WMI:
图19 命令行解析
后期版本的SharpStage也会在执行时抛出一个诱饵文件:
图20 文档被释放并打开,如代码中所示
诱饵文件包含据称由解放巴勒斯坦人民阵线(PLFP)媒体部门编写的资料,其中描述了为纪念PLFP成立53周年而做的准备工作:
图21 SharpStage诱饵文件
根据文档的元数据显示,文档的作者是一个名为“ ABU-GHASSAN”的人。在PFLP中,该名可能是PFLP秘书长艾哈迈德·萨阿达特(Ahmad Sa’adat)的名字,被称为ABU-GHASSAN。Cybereason无法确定文件的真实性,因此,目前尚不清楚该文件是被盗的真实文件,还是攻击者伪造的文件,其看起来像是来自前线高级官员的文件:
图22 诱饵文档元数据
2. DropBook后门的分析
图23 DropBook的进程树
在钓鱼攻击中,dropbook.exe是使用python语言开发并使用PyInstaller打包的后门程序。根据TTPs和代码相似性,Cybereason怀疑DropBook的作者与开发JhoneRAT的团队相同。JhoneRAT是另一个基于python的恶意软件,在针对中东的攻击活动中被发现,也有报道称它与Spark后门程序有关。
DropBook后门具有以下功能:
侦察:收集已安装的程序和文件名
Shell命令:执行从Facebook / Simplenote收到的Shell命令
下载和执行其他文件:DropBook能够使用DropBox下载和执行其他有效负载
针对说阿拉伯语的用户:DropBook检查受感染机器上是否存在阿拉伯语,从而避免了在无关的机器上执行:
图24 反编译python脚本的全局变量
只有当受感染的计算机上安装了WinRAR时,DropBook才会执行,这可能是因为在以后的攻击中需要使用它。此外,后门会检查键盘语言,并且只有在配置了阿拉伯语的情况下才运行,Molerats经常使用这种方法。
为了逃避基于网络的检测,DropBook通过合法的网站和服务(包括Dropbox,Facebook和Simplenote(用于保存便笺的服务))与运营者进行通信。这样一来,后门的网络流量就看起来合法,并且不太可能引起太多怀疑。DropBook使用Dropbox进行文件下载和上传,并使用Facebook / Simplenote帖子来传递来自攻击者的C2命令。
DropBook的执行流程如下:
- 获取Dropbox API令牌:DropBook从假Facebook帐户上的帖子中获取Dropbox令牌。后门的操作员可以编辑帖子,以更改后门使用的令牌。如果DropBook无法从Facebook获取令牌,它将尝试从Simplenote获取令牌:
图25 Facebook中的Dropbox令牌
侦察活动:收到令牌后,后门会在“ Program Files”目录和桌面中收集所有文件和文件夹的名称,然后将该列表写入“C:\ Users \%username%\ info.txt”文件中,然后使用当前登录到计算机上的用户名将文件上传到Dropbox。
从Facebook获取命令:DropBook检查伪造的Facebook帐户的帖子,这一次是为了接收要在受感染机器上执行的命令。攻击者能够编辑帖子,以便向后门提供新的指令和命令,例如:
对所有受害者或特定受害者执行任意shell命令
设置可能在稍后阶段下载的有效负载的名称
设置查询新命令之间的睡眠时间
Cybereason发现C2 Facebook账户上发布了以下命令:
表4
| 命令 | 目的 |
|---|---|
| all::tasklist | 在所有受感染的计算机上执行“tasklist” |
| all::dir | 在所有受感染的计算机上执行“ dir” |
all: | 设置要下载的下一个文件的名称为为“soundplyer.exe” |
all: | 将睡眠时间设置为30秒 |
| all: | 设置要下载的下一个文件的名称为“Kd.exe” |
| all::schtasks | 在所有受感染的计算机上执行“ schtasks” |
| all: | 设置要下载的下一个文件的名称为“Firefox.exe” |
| all:: %comspec% %userprofile%\Firefox.exe | 可能是试图执行“ Firefox.exe” |
| all:: %userprofile%\Firefox.exe | 可能是试图执行“ Firefox.exe” |
| all::schtasks /create /sc minute /mo 1 /tn”Firefox” /F /tr “"%userprofile%\Firefox.exe"“ | 为“ Firefox.exe”创建计划任务 |
| all::schtasks /create /sc minute /mo 1 /tn”soundplyer” /F /tr “"%userprofile%\soundplyer.exe"“ | 为“ soundplyer.exe”创建计划任务 |
| all: | 设置要下载的下一个文件的名称为“PView.exe” |
| all::dir %userprofile% | 在%userprofile%上执行“ dir” |
| all::schtasks /create /sc minute /mo 1 /tn”PView” /F /tr “"%userprofile%\PView.exe"“ | 为“ PView.exe”创建计划任务 |
| all: | 设置要下载的下一个文件的名称为“ DG3.exe” |
通过使用Facebook的“post edit history”功能,可以查看攻击者曾下发的命令:
图26 Facebook的post edit history功能揭示了攻击者使用的Shell命令
- 下载其他的有效负载:DropBook可以下载并执行Dropbox上存储的扩展负载,例如:MoleNet Downloader、Quasar RAT、SharpStage后门、DropBook的更新版本以及Process Explorer(Microsoft用来监视Windows进程的合法工具), 攻击者通常将其用于侦察和转储凭据。
除了发布命令外,伪造的Facebook个人资料为空,由此可以推测:创建该个人资料只是为了用作后门的命令和控制:
图27 伪造的Facebook个人资料用作DropBook的C2
3. MoleNet 下载器的分析
此活动中发现的最有趣的工具之一是MoleNet下载器。尽管以前没有文档记录该工具,但Nocturnus团队发现有证据表明,该工具至少自2019年以来一直在开发中,其基础设施可追溯到2017年,仍处于监视之下。
MoleNet下载器只是Molerats武库中的工具之一,在该活动中发现,其是由DropBook后门传递的,与之一起被传递的还有SharpStage和Spark后门。MoleNet下载器也是用.NET编写的。
MoleNet下载器具有以下功能:
执行获取本机信息的WMI命令,包括:
SELECT * FROM FirewallProduct
SELECT * FROM AntivirusProduct
SELECT * FROM Win32_PhysicalMedia
SELECT * FROM Win32_ComputerSystem
SELECT * FROM Win32_DiskDrive
SELECT * FROM Win32_LogicalDiskToPartition
检查调试器:MoleNet执行多次检查以查看是否正在调试,例如查询IsDebuggerPresent和CheckRemoteDebuggerPresent这两个API。
使用命令行重新启动计算机:MoleNet通过运行shutdown命令行来重新启动受感染的计算机。
图28 使用命令行重新启动受害者的计算机
- 向C2提交大量本机信息:以下是发送到C2的参数的示例:
name = {0}&subject = {1}&OS = {2}&category = {3}&priority = {4}&message = {5}&FileLocation = {6}&email = {7}&MyVer = {8}&XMLDoc = {9} &PCTypeOne = {10}
下载其他有效负载:MoleNet可以从C2下载其他有效负载。
持久驻留:MoleNet使用Powershell通过执行powershell 命令 reg add“ HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run” / f / v Firefox / t reg_sz / 在受感染的计算机上实现持久化
MoleNet的新版本似乎使用以下url与攻击者进行通信:
hxxps://exchangeupdates[.]com/enterprise/Wenterprise.php
hxxps://exchangeupdates[.]com/enterprise/Senterprise.php
发布的MoleNet旧版本
通过跟踪指示TTP和字符串的工具,Cybereason发现了一个更早的样本,可以追溯到2020年7月,其与同一域名exchangeupdates[.]com通信。
进一步可以发现更早的样本可以追溯到2019年。该样本与另一个域名进行通信 upgrade.newshelpyou [.com]。卡巴斯基在2017年的一份报告中提到了此域名,详细介绍了Gaza Cybergang组织的各种活动 。但是,该报告未包含有关MoleNet下载器的信息。
4. Spark后门在土耳其的活动
Cybereason的研究人员还观察到Spark后门最近针对讲土耳其语的个人的活动。目前还不清楚土耳其的活动是否与上述活动有关,但这两个活动都使用了MoleRats的Spark后门。值得注意的是,它的目标是讲土耳其语的个人,而Spark后门专门检查受感染机器上的阿拉伯语设置。
在针对土耳其的活动中发现的Spark后门的一个dropper文件名:“YENİİNŞAATİÇİNGEREKLİBELGELER.exe”(翻译为:新建所需的文件)。一旦恶意软件执行,它就会打开土耳其语的诱饵文件,以迷惑受害者:
文件名: YENİ İNŞAAT İÇİN GEREKLİ BELGELER.exe
SHA-256:5b0693731f100b960720d67bda6f3e6df1c25b7d5024d11cf61c13e7492f18cf
诱饵文件的 SHA-256:dc9aa462547e1436c7254a78c907915d41f771a3a66d2f4656930724cbf3914d
图29 土耳其语的诱饵文件,以及Spark后门
针对土耳其的活动似乎有一个独特的C2:brooksprofessional[.]com
03 关联到的Pierogi后门
在调查过程中,还发现了新发现的恶意软件库和之前发现的Pierogi后门间的关系:似乎新发现的后门的某些受害者也是Pierogi新变体的攻击目标,归因于APT-C-23( 与Molerats组织相关,同样隶属于Gaza Cybergang组织)。
对Pierogi的投放方式和网络钓鱼主题的分析表明,其与本报告中提到的活动以及Molerats和APT-C-23过去的活动有很多的相似之处。
例如,传递Pierogi后门的多个恶意可执行程序,也使用相似的Microsoft Word图标来伪装。此外,发送给受害者的网络钓鱼和诱骗内容也有相似之处:
图30 VirusTotal上的Pierogi后门dropper的检测率低
文件名:general secretariat for the council of ministers 1839-2021.exe
SHA-256:2d03ff4e5d4d72afffd9bde9225fe03d6dc941982d6f3a0bbd14076a6c890247
图31 在巴勒斯坦上传的Pierogi dropper文件
- PDF诱饵文件的SHA-256:b1ac14df66e1b10b3c744431add3d99a7eb39714b61253fb22dd3a00cba61e05
图32 Pierogi释放的诱饵文件内容
诱饵文档的另一个示例是下面的文件,该文件与Pierogi后门一起释放:
文件名:appreved structural-85763489756-5629857-docx.exe (originally with typo)
SHA-256:b61fa79c6e8bfcb96f6e2ed4057f5a835a299e9e13e4c6893c3c3309e31cad44
图33 Pierogi 后门释放的诱饵文件
尽管新的Pierogi变种似乎保留了以前报告的大多数功能,但Cybereason检测到了代码的一些变化和改进,包括代码混淆,base64编码的C2通信等。此外,之前报告的独特URI模式已经改变,不再包含乌克兰语的单词:
在新的Pierogi变体中观察到的URI模式:
hxxp://ruthgreenrtg[.]live/xqgjdxa/yhhzireha/ibcdgpuw
hxxp://ruthgreenrtg[.]live/xqgjdxa/yhhzireha/zbkvngmnc
hxxp://ruthgreenrtg[.]live/xqgjdxa/yhhzireha/hknbuahwg
hxxp://ruthgreenrtg[.]live/xqgjdxa/yhhzireha/tcpuvvf
| 旧URI模式(乌克兰语言命令) | 目的 |
| debby/weatherford/Yortysnr | 机器信息 |
| debby/weatherford/Ekspertyza | 向C2请求其他命令 |
| debby/weatherford/Zavantazhyty | 上传数据(主要是屏幕截图) |
04 结论
在这份报告中,Cybereason Nocturnus团队调查了主要针对中东地区讲阿拉伯语的个人的间谍活动,该活动主要在巴勒斯坦、阿联酋、埃及和土耳其进行。Cybereason相当有把握地估计,这些攻击是由Molerats(又名Gaza Cybergang)实施的,这是一个讲阿拉伯语、有政治动机的APT组织,自2012年以来一直在中东地区活动。根据其使用的网络钓鱼主题和诱骗文件的分析表明,它们主要围绕以色列与邻国阿拉伯国家的关系以及巴勒斯坦内部的时事和政治争议开展。考虑到诱饵内容的性质,Cybereason估计,攻击目标是中东地区的高级政治人物和政府官员。
Cybereason Nocturnus团队调查发现了两个未知的后门,分别是“ SharpStage”和“ DropBook”,以及“ MoleNet”下载器,它们与先前发现的Spark后门一起传递。SharpStage和DropBook似乎都利用了合法的Web服务(例如Dropbox和Google Drive)来存储其网络武器库,并利用了这些平台的机制,以秘密的方式将其传递给受害者。此外,DropBook后门程序的作者通过创建伪造的公共配置文件滥用了Facebook,这些伪造的公共配置文件将恶意软件的命令和控制(C2)指令传递给了恶意软件。
此外,Cybereason能够证明Molerats组织与APT-C-23(同样隶属于Gaza Cybergang)之间的相似之处,他们似乎有着相同的利益。当前的政治形势和中东地区最近发生的事件以及新发现的网络间谍工具,都充分表明Molerats正在增加对该地区的间谍活动。
05
IOCs
初始PDF钓鱼文件
Hashes (SHA-256 + SHA-1):
553127cb586591cbfbae54dd4e28d4cd40fdddebaf4e0e7e1f3f23c446a621bb0a2b7ac50f1467588b0e0b1b73fdfd270eaf86a0
URLs:
https://www.dropbox[.]com/s/r81t6y7yr8w2ymc/MOM.zip?dl=1https://drive.google[.]com/uc?export=download&id=1NnMlUPwkxK4_wAJwrqxqBAfdKCPDxyeh
压缩包
Hashes (SHA-256 + SHA-1):
D7675b5c1a47b876b505bf6fd8dc9ea3b35520c13408450df8807a1a5c24da68
89e8c607f6fa6cebd0672a6147e23b8cbe26c972
58f926d9bd70c144f8697905bf81dfff046a12929639dfba3a6bd30a26367823
7f0e609cd49a51b1e0fcc08499a618136451f689
SharpStage后门
Hashes (SHA-256 + SHA-1):
782681add2e26a17f4ad415b5b30f280c93f954a40ec4f00e0e60f9ef3884ac9
0eb6fd1bbc58fff0d85fe01e6528939650f8965c
688f79ba03554bbaf2be513416360ce44757b2f69103e6043ab66508611fe01a
d59fccb2cfb79cf26b332e40b102aa35d67b44ff
69af17199ede144d1c743146d4a7b7709b765e57375d4a4200ea742dabef75ef
7f3d04f54ffff9751d037398752107856f563e73
Caab3635c747d037eff7d8597698636c9a597ff631840e551011011bd4608245
8ec4d30a3040e260174cabb4b0c3959233b53929
7da27c2020176fd2b6132d65bd4cbabf9c23a4cb96427f5f7c59c103e031c138
625c550256b9c042a2cb5ce77ce3134d3cad1a0e
8daab6b0c8a9d22085f66f7498f87467eefadbcd0118df007f1600c87b7a3839
诱饵文档:
20c74ccb8e56170fa3cdbf5f2e4dfe372bd88b9f1e78872691e37d868ccc3195
c7d2241c6a6ed2a079793fd2df17dd8582b24809
Domains:
www.artlifelondon[.]com
www.forextradingtipsblog[.]com
Directoryswiss[.]com
URLs:
https://www.artlifelondon[.]com/beta/medias[.]php
https://www.artlifelondon[.]com/Hamas.php - shortened URL
https://bit[.]ly/3kE3QNb
http://artlifelondon[.]com/hamas_internal_elections.rar
https://www.artlifelondon[.]com/momnws.php
https://www.forextradingtipsblog[.]com/beta/mediasG.php?NamePC=<Machine_Name>&NameUser=<Username>&Mask=0
https://forextradingtipsblog[.]com/SaudiRecognitionofIsrael.php
https://forextradingtipsblog[.]com/AhmedMajdalani.php
https://forextradingtipsblog[.]com/momnws.php
hxxps://directoryswiss[.]com/gama/void.phpDropBook后门
Hashes (SHA-256 + SHA-1):
2578cbf4980569b372e06cf414c3da9e29226df4612e2fc6c56793f77f8429d8
2da78a9a8b3005fcf64028b035ab6f1a26ac290c
URLs:
http://simp[.]ly/p/04T5bp
https://app.simplenote[.]com/p/04T5bp
Https://www.facebook.com/yora.stev.5Spark后门
Hashes (SHA-256 + SHA-1):
54eadcd0b93f0708c8621d2d8d1fb4016f617680b3b0496343a9b3fed429aaf9
c3be6ad66b8de00741901ea9556621ef3515ee85
6afa011e2da6b009ab8e10a59c55c0f0c2161ca19f6305002f95dd532cf594bf
810ad432a3cec7b6ffca3268685d21f11b1b1688
5b0693731f100b960720d67bda6f3e6df1c25b7d5024d11cf61c13e7492f18cf
11c38b5c1bef14939410ebddcfec9c8a5e0e6aae
Domains:
Brooksprofessional[.]com
IPs:
168.119.82.89
93.115.10.142Quasar RAT:
Hashes (SHA-256 + SHA-1):
e6f6615ccbfc1790fccaba78d11c79ecc47785245ad39fefd27bd74f9101c82e
bb7d1f60cbd7bf0508f2c8cc06e7ed907b0fa0aa
5b186548de81bc1d1ce92c042a6c488a647d80e570dd58c8d3f34910c12aba87
549d6a3123ea553d2bec5ef01029cd48fc50e0db
F5894e8c68aa2d3e34f7c967e6c4ad3cf35b399d452826148c2dd99958fa2af4
dde1e4ed199cca865a43f400646157cf3f42dd05
4e2bede5a455218844d18ff7086d9d35714499afb4d8d2c609274e1a05c67339
52693b5624d8ec23a5884653eecdf44502292109
49eb73f776e4e6d87d9701a135769c843847e7af6f5372fa99aba97b8c6af639
8b74574582a0adceb8b218399877c3f57daae57f
Domains:
Lynsub[.]com
IPs:
193.160.32.118MoleNet下载器
Hashes (SHA-256 + SHA-1):
1ff12e9a7bc1047ad868d81bacd87ecffd18a0290d83c5e4e90783fe4249bc47
f7d2befa1db6214a45db819b14cc8d8afad3fb8b
F323a150d7597f46d29eb3a3c56f74e11d18caf164f9176c8c1b2fa0031cc729
d30810bdd1fe0e771c810659cabdb024985c4e7f
Domains:
exchangeupdates[.]com
URLs:
https://exchangeupdates[.]com/enterprise/Senterprise.php
https://exchangeupdates[.]com/enterprise/Wenterprise.php新版本Pierogi:
Hashes (SHA-256 + SHA-1):
B2ec6aeb55eb0acf12be51185e4d6b3e67e9f3931a0ce0ebbc5849f52c0d8fd3
487b56d0d7d2167fbd95804175ddffbca745be68
32eb4f92c8e82d3f401078725115d0604f9283ff8d9a088e7afbc150e08df295
4d1d67472886136ea280e262562c6033e3deeeea
0d65b9671e51baf64e1389649c94f2a9c33547bfe1f5411e12c16ae2f2f463dd
6ba65a22f189006f2d8007296688d407430682cb
82ad34384fd3b37f85e735a849b033326d8ce907155f5ff2d24318b1616b2950
e69c085587b985cb7b8ed868b6c455a218caa04a
3da95f33b6feb5dcc86d15e2a31e211e031efa2e96792ce9c459b6b769ffd6a4
891e252012f20a6df46e3bb031448e97ad954b70
Eda6d901c7d94cbd1c827dfa7c518685b611de85f4708a6701fcbf1a3f101768
27411054d9e0df9562e466abb0af07d951358783
078212fc6d69641e96ed04352fba4d028fd5eadc87c7a4169bfbcfc52b8ef8f2
825d67ec002469457e03817973c41d6614a569aa
D28ab0b04dc32f1924f1e50a5cf864325c901e11828200629687cca8ce6b2d5a
73bea795f6bd2d14887c966bdf281a5e6d7365d1
E869c7f981256ddb7aa1c187a081c46fed541722fa5668a7d90ff8d6b81c1db6
addbe1ef3cfd003a619c34d5be76cd628e172812
2115d02ead5e497ce5a52ab9b17f0e007a671b3cd95aa55554af17d9a30de37c
062f72e9ec84b1ceeceec58e9e8fb63b4d507ee9
B61fa79c6e8bfcb96f6e2ed4057f5a835a299e9e13e4c6893c3c3309e31cad44
fd193ca4c3aefe29a95d6077b438ea3b5568b5ec
B599b0327c4593a06a2e05a3373ee84c37faa6e4fd6f7e5c24544aa9192e0b43
ad6ab9659d4d07b0f4ecff7571b9a2f1ccf69069
9c1ebd6f1800194b29720f626d51bf8f67310c4c59e67cd12e398dde234872ca
7ac73d364e36bf1c181962094b7241bc48927f30
2b70045d4878a20b8fca568c0b3414f2d255f3b2a7dfed85c84cf88d1b2f4e74
8f3999352507eb2fa46f4a30d64b4ea2b6be2cd5
C7e74330440fcf8f6b112f5493769de6cdbdea5944ab78697ab115c927cbd0a1
ae29d19aa4e3f76aa8c7f42dbc3fe31340cfea0c
2d03ff4e5d4d72afffd9bde9225fe03d6dc941982d6f3a0bbd14076a6c890247
0d44e77fd514c261ef3ca168010ca93cf16f6519
B3e991914ca782b0b6f6a96d7df6d02e2388079a12e76dfacb47155fbff1084d
7f4bbae73f7f5fffdf1328e3391ad2af55932f10
42fa99e574b8ac5eddf084a37ef891ee4d16742ace9037cda3cdf037678e7512
d6b246959385362894ab96c724ea80add019869b
3884ac554dcd58c871a4e55900f8847c9e308a79c321ae46ced58daa00d82ab4
13f4d8cd1cc6fa121d4420e4694e8c151b916bbc
诱饵文档:
Ec9e05daf725673e3614cd0be0279fe9261241a2be9b53885a5ab4a50f445763
c8eb145b24bd90595b2735399aa99a5855eb7023
b1ac14df66e1b10b3c744431add3d99a7eb39714b61253fb22dd3a00cba61e05
Domains:
judystevenson[.]info
angeladeloney[.]info
ruthgreenrtg[.]live
escanor[.]live
原文链接:
https://www.cybereason.com/hubfs/dam/colla...
原文标题: MOLERATS IN THE CLOUD: New Malware Arsenal Abuses Cloud Platforms in Middle East Espionage Campaign
