【情報】HW期間警惕投毒&釣魚!

一、偽裝QAX某擎EXP的木馬:

偽裝成藍(lán)隊,以某擎RCE漏洞為誘餌,在github上發(fā)布投毒項目。

項目地址:https://github.com/FuckRedTeam/360tianqingRCE

思路:

偽裝包,偽裝包名:fake_useragant(正常包名為:fake_useragent),加載base64編碼的shellcode,截取圖片中的字符串,落地免殺exe木馬



IOC:http://i.miaosu.bid/data/f_35461354.png下載圖片進(jìn)行解碼

C2:https://47.106.185.79:60000/#/user/login 使用的是Viper
關(guān)聯(lián)信息:

安卓木馬:
ca00ff045b9e8e7e2a9b2eb04cf6e40641a5657ee01925b6f2048c7deb1373f6
通信C2:http://i.miaosu.bid/includes/fileReceive.php
處置建議:

1、 切勿輕信網(wǎng)絡(luò)傳播所謂的安全檢測腳本/工具,防止被黑客利用。
2、 根據(jù)威脅情報,排查網(wǎng)絡(luò)中是否再存失陷情況。

二、偽裝某達(dá)OA EXP的木馬:
偽裝成藍(lán)隊,以某達(dá)OA EXP為誘餌,在github上發(fā)布投毒項目

項目地址:https://github.com/safexz/2022hvv0day (已作廢)

木馬C2:43.129.158.31

URL:http://43.129.158.31:5555/wc1R

http://43.129.158.31:5555/cm

三、信息收集:

項目地址:https://github.com/fofahub/fofahubkey

描述:項目中的docx文件,使用了canarytokens做了信標(biāo)的,用于獲取打開文件用戶的IP地址。(紅藍(lán)誰給誰下的套?)



回傳地址:http://canarytokens.com/terms/articles/ayz4tfaqbetnwn1pz1gmqspi3/post.jsp

四、木馬釣魚郵件:

木馬郵件崗位職級調(diào)薪說明.zip)

hash:EDD53D56A61639039D9095BD71A0ADB9
文件名:崗位職級調(diào)薪說明.zip

hash:993EC0A31D8B7B9ABF16F04BF75672BA
文件名:崗位職級調(diào)薪說明.pdf.lnk

hash:FBBA1AD1342DB932FF94F2ED99185139
文件名:aaa.bat

釋放路徑: C:\ProgramData\

hash:D2FA324A84502E98D00E2EB8E948693F

文件名:hpqhvind.exe

hash:DB005067D03832E6504580DCE9A206AD

文件名:hpqhvsei.dll

hash:6594DFDA2215437299C3B35F194755B6

文件名:log.bin

行為主要是白文件hpqhvind.exe加載黑dll:hpqhvsei.dll,黑dll進(jìn)程鏤空后載入log.bin的內(nèi)容,log.bin為cs的dns stageless payload

C2域名:qianxin.dns-detect.com

還包含一下幾種釣魚情況,注意提供警惕



內(nèi)容來源:https://www.cnsrc.org.cn/hw/1911.html

作者:釋然IT雜談


歡迎關(guān)注微信公眾號 :釋然IT雜談