ESET 研究人员发现了一项网络间谍活动,至少自 2023 年 XNUMX 月以来,该活动一直通过有针对性的水坑(也称为战略网络妥协)和供应链妥协来提供藏语翻译软件的木马安装程序,从而使藏人受害。攻击者旨在部署适用于 Windows 和 macOS 的恶意下载程序,利用 MgBot 和后门来危害网站访问者,据我们所知,该后门尚未公开记录;我们把它命名为夜门。
这篇博文的要点:
- 我们发现了一项网络间谍活动,该活动利用祈愿节(宗教集会)来针对多个国家和地区的藏人。
- 攻击者破坏了在印度举行的年度节日组织者的网站,并添加了恶意代码以针对从特定网络连接的用户发起水坑攻击。
- 我们还发现软件开发商的供应链受到损害,并向用户提供了 Windows 和 macOS 的木马安装程序。
- 攻击者为此次行动部署了许多恶意下载程序和全功能后门,其中包括一个未公开记录的 Windows 后门,我们将其命名为 Nightdoor。
- 我们对此次活动对与中国结盟的 Evasive Panda APT 组织充满信心。
躲猫猫简介
回避熊猫 (也称为 青铜高地 和 蜻蜓) 是一个讲中文的APT组织, 至少从 2012 年开始活跃。 ESET Research 观察到该组织针对中国大陆、香港、澳门和尼日利亚的个人进行网络间谍活动。东南亚和东亚的政府实体成为攻击目标,特别是中国、澳门、缅甸、菲律宾、台湾和越南。中国和香港的其他组织也成为目标。据公开报道,该组织还针对香港、印度和马来西亚的未知实体。
该组织使用自己的定制恶意软件框架和模块化架构,允许其后门(称为 MgBot)接收模块来监视受害者并增强其功能。自 2020 年以来,我们还观察到 Evasive Panda 有能力通过中间对手攻击提供后门 劫持合法软件的更新.
活动概览
2024 年 XNUMX 月,我们发现了一次网络间谍活动,攻击者入侵了至少三个网站以进行水坑攻击,并入侵了一家西藏软件公司的供应链。
这个被滥用为水坑的受感染网站属于噶举国际祈愿信托基金会,该组织总部位于印度,致力于在国际上推广藏传佛教。攻击者在网站中放置了一个脚本,用于验证潜在受害者的 IP 地址,如果该地址位于目标地址范围之一内,则显示一个虚假错误页面,以诱使用户下载名为 证书 (如果访问者使用的是 Windows 或,则带有 .exe 扩展名 PKG 如果是 macOS)。该文件是一个恶意下载程序,会部署危害链的下一阶段。
根据代码检查的IP地址范围,我们发现攻击者针对的是印度、台湾、香港、澳大利亚和美国的用户;这次袭击可能旨在利用国际社会对每年 1 月在印度菩提伽耶市举行的噶举祈愿节(图 XNUMX)的兴趣。
有趣的是,美国佐治亚理工学院(也称为佐治亚理工学院)的网络是目标 IP 地址范围内已识别的实体之一。 在过去, 提到了大学 与中国共产党对美国教育机构的影响有关。
2023 年 XNUMX 月左右,攻击者入侵了一家位于印度的软件开发公司的网站,该公司生产藏语翻译软件。攻击者在那里放置了多个木马应用程序,这些应用程序部署了适用于 Windows 或 macOS 的恶意下载程序。
除此之外,攻击者还滥用了同一网站和一个名为Tibetpost的西藏新闻网站—— 西藏邮报[.]网 – 托管恶意下载获得的有效负载,包括两个全功能的 Windows 后门和未知数量的 macOS 有效负载。
根据所使用的恶意软件:MgBot 和 Nightdoor,我们非常有信心地将此次活动归因于 Evasive Panda APT 组织。过去,我们曾在针对台湾某宗教组织的一次无关攻击中看到这两个后门一起部署,其中它们也共享同一个 C&C 服务器。这两点也适用于本博文中描述的活动。
水坑
一月14th,2024 年,我们在以下位置检测到可疑脚本 https://www.kagyumonlam[.]org/media/vendor/jquery/js/jquery.js?3.6.3.
恶意混淆代码被附加到合法的代码中 jQuery的 JavaScript 库脚本,如图 2 所示。
该脚本向 localhost 地址发送 HTTP 请求 http://localhost:63403/?callback=handleCallback 检查攻击者的中间下载程序是否已在潜在受害者计算机上运行(参见图 3)。在之前受感染的机器上,植入物会回复 handleCallback({“成功”:true }) (参见图 4)并且脚本不会采取进一步的操作。
如果机器没有回复预期的数据,则恶意代码会继续从位于以下位置的辅助服务器获取 MD5 哈希值: https://update.devicebug[.]com/getVersion.php。然后根据 74 个哈希值的列表检查哈希值,如图 6 所示。
如果存在匹配,该脚本将呈现一个 HTML 页面,其中包含虚假的崩溃通知(图 7),旨在诱使访问用户下载解决方案来解决问题。该页面模仿典型的“噢,啪!”来自的警告 Google Chrome.
“立即修复”按钮会触发一个脚本,该脚本会根据用户的操作系统下载有效负载(图 8)。
破坏哈希值
有效负载传递的条件需要从服务器获取正确的哈希值 update.devicebug[.]com,因此 74 个哈希值是攻击者受害者选择机制的关键。然而,由于哈希是在服务器端计算的,因此了解使用哪些数据来计算它给我们带来了挑战。
我们尝试了不同的 IP 地址和系统配置,并将 MD5 算法的输入范围缩小为用户 IP 地址的前三个八位字节的公式。换句话说,通过输入共享相同网络前缀的IP地址,例如 192.168.0.1 和 192.168.0.50,将从 C&C 服务器接收相同的 MD5 哈希值。
然而,未知的字符组合,或者 盐, 在散列之前包含在前三个 IP 八位位组的字符串中,以防止散列被简单地暴力破解。因此,我们需要对盐进行暴力破解以确保输入公式的安全,然后使用整个 IPv4 地址范围生成哈希值,以找到匹配的 74 个哈希值。
有时星星确实对齐,我们发现盐是 1qaz0okm!@#。对于 MD5 输入公式的所有部分(例如, 192.168.1.1qaz0okm!@#),我们轻松地暴力破解了 74 个哈希值并生成了目标列表。请参阅 附录 获取完整清单。
如图 9 所示,大多数目标 IP 地址范围位于印度,其次是台湾、澳大利亚、美国和香港。请注意,大多数 西藏侨民 住在印度。
Windows有效负载
在 Windows 上,攻击的受害者会收到位于以下位置的恶意可执行文件: https://update.devicebug[.]com/fixTools/certificate.exe。图 10 显示了用户下载并执行恶意修复程序时遵循的执行链。
证书.exe 是一个部署侧加载链来加载中间下载器的 dropper, 内存管理器集.dll (内部命名为 http_dy.dll)。该 DLL 从位于以下位置的 C&C 服务器获取 JSON 文件: https://update.devicebug[.]com/assets_files/config.json,其中包含下载下一阶段的信息(参见图 11)。
当下载并执行下一阶段时,它会部署另一个侧面加载链来交付 Nightdoor 作为最终有效负载。下面提供了对 Nightdoor 的分析 夜门 部分。
macOS 有效负载
macOS 恶意软件与我们更详细地记录在案的下载程序相同 供应链妥协。然而,这个会释放一个额外的 Mach-O 可执行文件,该可执行文件侦听 TCP 端口 63403。其唯一目的是回复 handleCallback({“成功”:true }) 恶意 JavaScript 代码请求,因此如果用户再次访问水坑网站,JavaScript 代码将不会尝试再次危害访问者。
该下载器从服务器获取 JSON 文件并下载下一阶段,就像之前描述的 Windows 版本一样。
供应链妥协
一月18th,我们发现一个多平台藏文翻译软件产品的官方网站(图12)托管着ZIP包,其中包含合法软件的木马安装程序,这些木马安装程序为Windows和macOS部署了恶意下载程序。
我们发现一名来自日本的受害者下载了其中一个 Windows 软件包。表 1 列出了 URL 和已删除的植入程序。
表 1. 受感染网站上恶意软件包的 URL 以及受感染应用程序中的负载类型
恶意包URL |
有效载荷类型 |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig3.zip |
Win32下载器 |
https://www.monlamit[.]com/monlam-app-store/Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32下载器 |
https://www.monlamit[.]com/monlam-app-store/Deutsch-Tibetisches_W%C3%B6rterbuch_Installer_Windows.zip |
Win32下载器 |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig-mac-os.zip |
macOS 下载器 |
https://www.monlamit[.]com/monlam-app-store/Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
macOS 下载器 |
Windows 软件包
图13说明了木马应用程序从包中的加载链 Monlam-bodyig3.zip.
该木马应用程序包含一个名为 AUTORUN.EXE 部署两个组件:
- 一个名为的可执行文件 蒙拉姆更新程序,这是来自模拟器的软件组件,称为 C64 永远 并被滥用于 DLL 侧面加载,并且
- RPHost.dll,旁加载DLL,它是下一阶段的恶意下载程序。
当下载器 DLL 加载到内存中时,它会创建一个名为的计划任务 德莫瓦莱 旨在每次用户登录时执行。但是,由于该任务没有指定要执行的文件,因此无法建立持久性。
接下来,该 DLL 获取 UUID 和操作系统版本以创建自定义用户代理并向 https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat 获取包含 URL 的 JSON 文件,以下载并执行它投放到的有效负载 %TEMP% 目录。我们无法从受感染的网站获取 JSON 对象数据样本;因此我们不知道具体从哪里来 默认_ico.exe 已下载,如图 13 所示。
通过 ESET 遥测,我们注意到非法 蒙拉姆更新程序 进程在不同场合下载并执行至少四个恶意文件 %TEMP%default_ico.exe。表 2 列出了这些文件及其用途。
表 2. 的哈希值 默认_ico.exe 下载器/dropper、联系的 C&C URL 以及下载器的描述
SHA-1 |
联系网址 |
宗旨 |
1C7DF9B0023FB97000B7 |
https://tibetpost[.]net/templates/ |
从服务器下载未知的有效负载。 |
F0F8F60429E3316C463F |
从服务器下载未知的有效负载。该示例是用 Rust 编写的。 |
|
7A3FC280F79578414D71 |
http://188.208.141[.]204:5040/ |
下载一个随机命名的 Nightdoor 滴管。 |
BFA2136336D845184436 |
无 |
开源工具 系统信息,攻击者将其恶意代码集成到其中,并嵌入一个加密的 blob,一旦解密并执行,就会安装 MgBot。 |
最后,该 默认_ico.exe 下载器或植入程序将从服务器获取有效负载或丢弃它,然后在受害计算机上执行它,安装 Nightdoor(请参阅 夜门 部分)或 MgBot(请参阅我们的 以前的分析).
剩下的两个木马程序包非常相似,都部署由合法可执行文件旁加载的相同恶意下载程序 DLL。
macOS 软件包
从官方应用商店下载的 ZIP 存档包含修改后的安装程序包(PKG 文件),其中添加了 Mach-O 可执行文件和安装后脚本。安装后脚本将 Mach-O 文件复制到 $HOME/库/容器/CalendarFocusEXT/ 并继续安装启动代理 $HOME/Library/LaunchAgents/com.Terminal.us.plist 为了坚持。图 14 显示了负责安装和启动恶意启动代理的脚本。
恶意的 Mach-O, Monlam-bodyig_Keyboard_2017 图 13 中的内容是使用开发者证书(不是 证书类别 通常用于分发)以及名称和团队标识符 丫丫洋 (2289F6V4BN)。签名中的时间戳表明它是7月XNUMX日签署的th,2024 年。该日期也用于 ZIP 存档元数据中恶意文件的修改时间戳。该证书是在三天前才颁发的。完整的证书可在 国际石油公司 部分。我们的团队于 25 月 XNUMX 日联系了 Appleth 并于同日吊销该证书。
第一阶段的恶意软件会下载一个 JSON 文件,其中包含下一阶段的 URL。架构(ARM 或 Intel)、macOS 版本和硬件 UUID(每台 Mac 的唯一标识符)均在 User-Agent HTTP 请求标头中报告。使用与 Windows 版本相同的 URL 来检索该配置: https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat。但是,macOS 版本将查看 JSON 对象的 mac 键下的数据,而不是 赢 键。
mac 键下的对象应包含以下内容:
- 网址: 下一阶段的 URL。
- md5:有效负载的 MD5 和。
- 韦尔诺:硬件 UUID 列表。如果存在,则有效负载将仅安装在具有列出的硬件 UUID 之一的 Mac 上。如果列表为空或缺失,则跳过此检查。
- 版本:数值必须高于之前下载的第二阶段“版本”。否则不会下载有效负载。当前运行版本的值保存在应用程序中 用户默认值.
恶意软件使用curl从指定URL下载文件后,使用MD5对文件进行哈希处理,并与下面的十六进制摘要进行比较 md5 钥匙。如果匹配,则删除其扩展属性(以清除 com.apple.quarantine 属性),将文件移动到 $HOME/Library/SafariBrowser/Safari.app/Contents/MacOS/SafariBrower,并使用启动 执行副总裁 随着参数运行。
与 Windows 版本不同,我们找不到 macOS 版本的任何后期版本。一种 JSON 配置包含 MD5 哈希(3C5739C25A9B85E82E0969EE94062F40),但 URL 字段为空。
夜门
我们命名为 Nightdoor 的后门(恶意软件作者根据 PDB 路径将其命名为 NetMM)是 Evasive Panda 工具集的最新添加内容。我们对 Nightdoor 的最早了解可以追溯到 2020 年,当时 Evasive Panda 将其部署到了越南一个备受瞩目的目标的机器上。后门通过 UDP 或 Google Drive API 与其 C&C 服务器通信。这次活动中的 Nightdoor 植入程序使用了后者。它加密了 Google API 身份验证 2.0 数据部分中的令牌,并使用该令牌访问攻击者的 Google Drive。我们已要求删除与此令牌关联的 Google 帐户。
首先,Nightdoor 在 Google Drive 中创建一个文件夹,其中包含受害者的 MAC 地址,该地址也充当受害者 ID。该文件夹将包含植入程序和 C&C 服务器之间的所有消息。 Nightdoor 和 C&C 服务器之间的每条消息都被构造为一个文件,并分为文件名和文件数据,如图 15 所示。
每个文件名包含八个主要属性,如下面的示例所示。
示例:
1_2_0C64C2BAEF534C8E9058797BCD783DE5_168_0_1_4116_0_00-00-00-00-00-00
- 1_2: 魔法值。
- 0C64C2BAEF534C8E9058797BCD783DE5: 标题 缓冲区 数据结构。
- 168:消息对象的大小或文件大小(以字节为单位)。
- 0:文件名,始终默认为 0(空)。
- 1:命令类型,根据示例硬编码为 1 或 0。
- 4116:命令ID。
- 0:服务质量(QoS)。
- 00-00-00-00-00-00:意味着目标的 MAC 地址,但始终默认为 00-00-00-00-00-00.
每个文件内的数据代表控制器对后门的命令以及执行该命令所需的参数。图 16 显示了存储为文件数据的 C&C 服务器消息的示例。
通过逆向工程 Nightdoor,我们能够理解文件中重要字段的含义,如图 17 所示。
我们发现本次活动中使用的 Nightdoor 版本添加了许多有意义的更改,其中之一就是命令 ID 的组织。在以前的版本中,每个命令ID都被一一分配给一个处理函数,如图18所示。编号选择,例如来自 0x2001 至 0x2006从 0x2201 至 0x2203从 0x4001 至 0x4003以及从 0x7001 至 0x7005,建议将命令分为具有相似功能的组。
然而,在此版本中,Nightdoor 使用分支表来组织所有命令 ID 及其相应的处理程序。命令 ID 始终是连续的,并充当分支表中相应处理程序的索引,如图 19 所示。
表 3 是 C&C 服务器命令及其功能的预览。该表包含新命令 ID 以及旧版本中的等效 ID。
表 3. 此活动中使用的 Nightdoor 变体支持的命令。
命令编号 |
上一个命令 ID |
课程描述 |
|
0x1001 |
0x2001 |
收集基本的系统配置文件信息,例如: – 操作系统版本 – IPv4 网络适配器、MAC 地址和 IP 地址 – CPU名称 – 计算机名称 - 用户名 – 设备驱动程序名称 – 所有用户名来自 C:用户* - 当地时间 – 使用公共IP地址 配置文件 or ipinfo.io 网络服务 |
|
0x1007 |
0x2002 |
收集有关磁盘驱动器的信息,例如: – 驱动器名称 – 可用空间和总空间 – 文件系统类型:NTFS、FAT32等 |
|
0x1004 |
0x2003 |
收集 Windows 注册表项下所有已安装应用程序的信息: – HKLM软件 – WOW6432NodeMicrosoftWindows – MicrosoftWindowsCurrentVersionUninstall (x86) |
|
0x1003 |
0x2004 |
收集有关正在运行的进程的信息,例如: – 进程名称 – 线程数 - 用户名 – 磁盘上的文件位置 – 磁盘上文件的描述 |
|
0x1006 |
0x4001 |
创建反向 shell 并通过匿名管道管理输入和输出。 |
|
0x4002 |
|||
0x4003 |
|||
0x1002 |
无 |
自行卸载。 |
|
0x100C |
0x6001 |
移动文件。该路径由C&C服务器提供。 |
|
0x100B |
0x6002 |
删除文件。该路径由C&C服务器提供。 |
|
0x1016 |
0x6101 |
获取文件属性。该路径由C&C服务器提供。 |
结论
我们分析了与中国结盟的 APT Evasive Panda 针对多个国家和地区的藏人发起的活动。我们认为,攻击者当时利用即将于 2024 年 XNUMX 月和 XNUMX 月举行的 Monlam 节日,在用户访问节日网站(变成了水坑)时对用户进行了攻击。此外,攻击者还破坏了藏语翻译应用软件开发商的供应链。
攻击者部署了多个下载程序、植入程序和后门,包括 MgBot(Evasive Panda 专用)和 Nightdoor:该组织工具包的最新主要新增内容,已用于针对东亚的多个网络。
完整的妥协指标 (IoC) 列表和示例可在我们的 GitHub存储库.
如果对我们在 WeLiveSecurity 上发表的研究有任何疑问,请通过以下方式联系我们 威胁intel@eset.com.
ESET Research 提供私人 APT 情报报告和数据源。 有关此服务的任何查询,请访问 ESET 威胁情报 页面上发布服务提醒。
国际石油公司
档
SHA-1 |
文件名 |
检测 |
课程描述 |
0A88C3B4709287F70CA2 |
AUTORUN.EXE |
Win32/代理.AGFU |
Dropper组件添加到官方安装程序包中。 |
1C7DF9B0023FB97000B7 |
默认_ico.exe |
Win32/代理.AGFN |
中级下载器。 |
F0F8F60429E3316C463F |
默认_ico.exe |
Win64/代理.DLY |
用 Rust 编程的中间下载器。 |
7A3FC280F79578414D71 |
默认_ico.exe |
Win32/代理.AGFQ |
夜门下载器。 |
70B743E60F952A1238A4 |
UjGnsPwFaEtl.exe |
Win32/代理.AGFS |
夜门滴管。 |
FA44028115912C95B5EF |
RPHost.dll |
Win32/代理.AGFM |
中间装载机。 |
5273B45C5EABE64EDBD0 |
证书.pkg |
OSX/Agent.DJ |
MacOS 滴管组件。 |
5E5274C7D931C1165AA5 |
证书.exe |
Win32/代理.AGES |
来自受感染网站的 Dropper 组件。 |
59AA9BE378371183ED41 |
默认_ico_1.exe |
Win32/代理.AGFO |
Nightdoor 滴管组件。 |
8591A7EE00FB1BB7CC5B |
内存管理器集.dll |
Win32/代理.AGGH |
Nightdoor 下载器组件的中间加载器。 |
82B99AD976429D0A6C54 |
洋泾浜代码 |
Win32/代理.AGGI |
Nightdoor 的中间装载机。 |
3EEE78EDE82F6319D094 |
Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32/代理.AGFM |
木马安装程序。 |
2A96338BACCE3BB687BD |
的jquery.js |
JS/木马下载器.Agent.AAPA |
恶意 JavaScript 添加到受感染的网站。 |
8A389AFE1F85F83E340C |
祈愿法身 3.1.exe |
Win32/代理.AGFU |
木马安装程序。 |
944B69B5E225C7712604 |
deutsch-tibetisches_w__rterbuch_installer_windows.zip |
MSIL/代理.WSK |
木马安装程序包。 |
A942099338C946FC196C |
Monlam-bodyig3.zip |
Win32/代理.AGFU |
木马安装程序包。 |
52FE3FD399ED15077106 |
Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
OSX/Agent.DJ |
MacOS 木马安装程序包。 |
57FD698CCB5CB4F90C01 |
monlam-bodyig-mac-os.zip |
OSX/Agent.DJ |
MacOS 木马安装程序包。 |
C0575AF04850EB1911B0 |
安全~.x64 |
OSX/Agent.DJ |
MacOS 下载器。 |
7C3FD8EE5D660BBF43E4 |
安全~.arm64 |
OSX/Agent.DJ |
MacOS 下载器。 |
FA78E89AB95A0B49BC06 |
安全.fat |
OSX/Agent.DJ |
MacOS 下载器组件。 |
5748E11C87AEAB3C19D1 |
Monlam_Grand_Dictionary 导出文件 |
OSX/Agent.DJ |
来自 macOS 木马安装程序包的恶意组件。 |
证书
序列号 |
49:43:74:D8:55:3C:A9:06:F5:76:74:E2:4A:13:E9:33
|
指纹 |
77DBCDFACE92513590B7C3A407BE2717C19094E0 |
学科 CN |
苹果开发:ya ni yang (2289F6V4BN) |
主题 O |
丫丫洋 |
主题 L |
无 |
主题 S |
无 |
主题 C |
US |
有效来自 |
2024-01-04 05:26:45 |
有效 |
2025-01-03 05:26:44 |
序列号 |
6014B56E4FFF35DC4C948452B77C9AA9 |
指纹 |
D4938CB5C031EC7F04D73D4E75F5DB5C8A5C04CE |
学科 CN |
凯普移动 |
主题 O |
凯普移动 |
主题 L |
无 |
主题 S |
无 |
主题 C |
KR |
有效来自 |
2021-10-25 00:00:00 |
有效 |
2022-10-25 23:59:59 |
IP |
域名 |
托管服务提供商 |
第一次见到 |
更多信息 |
无 |
西藏邮报[.]网 |
无 |
2023-11-29 |
受损网站。 |
无 |
www.monlamit[.]com |
无 |
2024-01-24 |
受损网站。 |
无 |
update.devicebug[.]com |
无 |
2024-01-14 |
DC。 |
188.208.141[.]204 |
无 |
阿莫尔·欣加德 |
2024-02-01 |
Nightdoor dropper 组件的下载服务器。 |
MITRE ATT&CK 技术
该表是使用 14版 MITRE ATT&CK 框架.
战术 |
ID |
名字 |
课程描述 |
资源开发 |
获取基础设施:服务器 |
Evasive Panda 为 Nightdoor、MgBot 和 macOS 下载器组件的 C&C 基础设施购买了服务器。 |
|
获取基础设施:Web 服务 |
Evasive Panda 将 Google Drive 的网络服务用于 Nightdoor 的 C&C 基础设施。 |
||
妥协基础设施:服务器 |
Evasive Panda 运营商入侵了多台服务器,用作水坑、供应链攻击、托管有效负载并用作 C&C 服务器。 |
||
建立账户:云账户 |
Evasive Panda 创建了一个 Google Drive 帐户并将其用作 C&C 基础设施。 |
||
开发能力:恶意软件 |
Evasive Panda 部署了自定义植入程序,例如 MgBot、Nightdoor 和 macOS 下载器组件。 |
||
T1588.003 |
获取能力:代码签名证书 |
Evasive Panda 获得代码签名证书。 |
|
舞台能力:路过目标 |
Evasive Panda 操作者修改了一个备受瞩目的网站,添加了一段 JavaScript 代码,该代码会呈现下载恶意软件的虚假通知。 |
||
初始访问 |
驾车妥协 |
访问受感染网站的访问者可能会收到一条虚假的错误消息,诱使他们下载恶意软件。 |
|
供应链妥协:妥协软件供应链 |
Evasive Panda 木马化了一家软件公司的官方安装程序包。 |
||
执行 |
原生API |
Nightdoor、MgBot 及其中间下载器组件使用 Windows API 来创建进程。 |
|
计划任务/作业:计划任务 |
Nightdoor 和 MgBot 的加载器组件可以创建计划任务。 |
||
坚持 |
创建或修改系统进程:Windows 服务 |
Nightdoor 和 MgBot 的加载器组件可以创建 Windows 服务。 |
|
劫持执行流程:DLL 侧载 |
Nightdoor 和 MgBot 的 dropper 组件部署一个合法的可执行文件,该文件会侧面加载恶意加载程序。 |
||
防御规避 |
去混淆/解码文件或信息 |
Nightdoor 植入程序的 DLL 组件在内存中解密。 |
|
削弱防御:禁用或修改系统防火墙 |
Nightdoor 添加了两条 Windows 防火墙规则,以允许其 HTTP 代理服务器功能的入站和出站通信。 |
||
指标删除:文件删除 |
Nightdoor 和 MgBot 可以删除文件。 |
||
指示器移除:清晰的持久性 |
Nightdoor 和 MgBot 可以自行卸载。 |
||
伪装:伪装任务或服务 |
Nightdoor 的加载程序将其任务伪装成 netsvcs。 |
||
伪装:匹配合法名称或位置 |
Nightdoor 的安装程序将其组件部署到合法的系统目录中。 |
||
混淆文件或信息:嵌入式有效载荷 |
Nightdoor 的植入程序组件包含部署在磁盘上的嵌入式恶意文件。 |
||
进程注入:动态链接库注入 |
Nightdoor 和 MgBot 的加载程序组件将自身注入到 svchost.exe 中。 |
||
反射代码加载 |
Nightdoor 和 MgBot 的加载程序组件将自身注入到 svchost.exe 中,从那里加载 Nightdoor 或 MgBot 后门。 |
||
药物发现 |
帐户发现:本地帐户 |
Nightdoor 和 MgBot 从受感染的系统收集用户帐户信息。 |
|
文件和目录发现 |
Nightdoor 和 MgBot 可以从目录和文件中收集信息。 |
||
进程发现 |
Nightdoor 和 MgBot 收集有关进程的信息。 |
||
查询注册表 |
Nightdoor 和 MgBot 查询 Windows 注册表以查找有关已安装软件的信息。 |
||
软件发现 |
Nightdoor 和 MgBot 收集有关已安装软件和服务的信息。 |
||
系统所有者/用户发现 |
Nightdoor 和 MgBot 从受感染的系统收集用户帐户信息。 |
||
系统信息发现 |
Nightdoor 和 MgBot 收集有关受感染系统的广泛信息。 |
||
系统网络连接发现 |
Nightdoor 和 MgBot 可以从受感染计算机上的所有活动 TCP 和 UDP 连接收集数据。 |
||
购物 |
存档收集的数据 |
Nightdoor 和 MgBot 将收集的数据存储在加密文件中。 |
|
自动收集 |
Nightdoor 和 MgBot 自动收集有关受感染机器的系统和网络信息。 |
||
来自本地系统的数据 |
Nightdoor 和 MgBot 收集有关操作系统和用户数据的信息。 |
||
数据暂存:本地数据暂存 |
Nightdoor 将数据存放在磁盘上的文件中以进行渗漏。 |
||
指挥和控制 |
应用层协议:Web 协议 |
Nightdoor 使用 HTTP 与 C&C 服务器进行通信。 |
|
非应用层协议 |
Nightdoor 使用 UDP 与 C&C 服务器进行通信。 MgBot 使用 TCP 与 C&C 服务器通信。 |
||
非标准端口 |
MgBot 使用 TCP 端口 21010。 |
||
协议隧道 |
Nightdoor 可以充当 HTTP 代理服务器,通过隧道传输 TCP 通信。 |
||
网络服务 |
Nightdoor 使用 Google Drive 进行 C&C 通信。 |
||
渗出 |
自动渗漏 |
Nightdoor 和 MgBot 自动窃取收集到的数据。 |
|
通过 Web 服务进行渗透:向云存储渗透 |
Nightdoor 可以将其文件泄露到 Google Drive。 |
附录
下表提供了目标 IP 地址范围。
CIDR |
ISP |
城市 |
国家 |
124.171.71.0/24 |
iiNet |
悉尼 |
澳大利亚 |
125.209.157.0/24 |
iiNet |
悉尼 |
澳大利亚 |
1.145.30.0/24 |
Telstra公司 |
悉尼 |
澳大利亚 |
193.119.100.0/24 |
TPG电信 |
悉尼 |
澳大利亚 |
14.202.220.0/24 |
TPG电信 |
悉尼 |
澳大利亚 |
123.243.114.0/24 |
TPG电信 |
悉尼 |
澳大利亚 |
45.113.1.0/24 |
HK 92服务器科技 |
香港 |
香港 |
172.70.191.0/24 |
Cloudflare |
艾哈迈达巴德 |
印度 |
49.36.224.0/24 |
信赖Jio Infocomm |
艾罗利 |
印度 |
106.196.24.0/24 |
Bharti Airtel |
班加罗尔 |
印度 |
106.196.25.0/24 |
Bharti Airtel |
班加罗尔 |
印度 |
14.98.12.0/24 |
塔塔电信服务公司 |
班加罗尔 |
印度 |
172.70.237.0/24 |
Cloudflare |
昌迪加 |
印度 |
117.207.51.0/24 |
Bharat Sanchar Nigam Limited |
达尔豪西 |
印度 |
103.214.118.0/24 |
Airnet 宽带 |
德里 |
印度 |
45.120.162.0/24 |
阿尼板带 |
德里 |
印度 |
103.198.173.0/24 |
阿诺内特 |
德里 |
印度 |
103.248.94.0/24 |
阿诺内特 |
德里 |
印度 |
103.198.174.0/24 |
阿诺内特 |
德里 |
印度 |
43.247.41.0/24 |
阿诺内特 |
德里 |
印度 |
122.162.147.0/24 |
Bharti Airtel |
德里 |
印度 |
103.212.145.0/24 |
兴奋剂 |
德里 |
印度 |
45.248.28.0/24 |
欧姆卡电子 |
德里 |
印度 |
49.36.185.0/24 |
信赖Jio Infocomm |
德里 |
印度 |
59.89.176.0/24 |
Bharat Sanchar Nigam Limited |
达兰萨拉 |
印度 |
117.207.57.0/24 |
Bharat Sanchar Nigam Limited |
达兰萨拉 |
印度 |
103.210.33.0/24 |
瓦尤杜特 |
达兰萨拉 |
印度 |
182.64.251.0/24 |
Bharti Airtel |
甘达尔巴尔 |
印度 |
117.255.45.0/24 |
Bharat Sanchar Nigam Limited |
哈利亚尔 |
印度 |
117.239.1.0/24 |
Bharat Sanchar Nigam Limited |
哈米尔布尔 |
印度 |
59.89.161.0/24 |
Bharat Sanchar Nigam Limited |
斋浦尔 |
印度 |
27.60.20.0/24 |
Bharti Airtel |
勒克瑙 |
印度 |
223.189.252.0/24 |
Bharti Airtel |
勒克瑙 |
印度 |
223.188.237.0/24 |
Bharti Airtel |
密拉特 |
印度 |
162.158.235.0/24 |
Cloudflare |
孟买 |
印度 |
162.158.48.0/24 |
Cloudflare |
孟买 |
印度 |
162.158.191.0/24 |
Cloudflare |
孟买 |
印度 |
162.158.227.0/24 |
Cloudflare |
孟买 |
印度 |
172.69.87.0/24 |
Cloudflare |
孟买 |
印度 |
172.70.219.0/24 |
Cloudflare |
孟买 |
印度 |
172.71.198.0/24 |
Cloudflare |
孟买 |
印度 |
172.68.39.0/24 |
Cloudflare |
新德里 |
印度 |
59.89.177.0/24 |
Bharat Sanchar Nigam Limited |
帕拉姆普尔 |
印度 |
103.195.253.0/24 |
原型数字网络 |
兰契 |
印度 |
169.149.224.0/24 |
信赖Jio Infocomm |
西姆拉 |
印度 |
169.149.226.0/24 |
信赖Jio Infocomm |
西姆拉 |
印度 |
169.149.227.0/24 |
信赖Jio Infocomm |
西姆拉 |
印度 |
169.149.229.0/24 |
信赖Jio Infocomm |
西姆拉 |
印度 |
169.149.231.0/24 |
信赖Jio Infocomm |
西姆拉 |
印度 |
117.255.44.0/24 |
Bharat Sanchar Nigam Limited |
西尔西 |
印度 |
122.161.241.0/24 |
Bharti Airtel |
斯利那加 |
印度 |
122.161.243.0/24 |
Bharti Airtel |
斯利那加 |
印度 |
122.161.240.0/24 |
Bharti Airtel |
斯利那加 |
印度 |
117.207.48.0/24 |
Bharat Sanchar Nigam Limited |
路 |
印度 |
175.181.134.0/24 |
新世纪讯通 |
新竹 |
台湾 |
36.238.185.0/24 |
中华电信 |
高雄 |
台湾 |
36.237.104.0/24 |
中华电信 |
台南 |
台湾 |
36.237.128.0/24 |
中华电信 |
台南 |
台湾 |
36.237.189.0/24 |
中华电信 |
台南 |
台湾 |
42.78.14.0/24 |
中华电信 |
台南 |
台湾 |
61.216.48.0/24 |
中华电信 |
台南 |
台湾 |
36.230.119.0/24 |
中华电信 |
台北 |
台湾 |
114.43.219.0/24 |
中华电信 |
台北 |
台湾 |
114.44.214.0/24 |
中华电信 |
台北 |
台湾 |
114.45.2.0/24 |
中华电信 |
台北 |
台湾 |
118.163.73.0/24 |
中华电信 |
台北 |
台湾 |
118.167.21.0/24 |
中华电信 |
台北 |
台湾 |
220.129.70.0/24 |
中华电信 |
台北 |
台湾 |
106.64.121.0/24 |
远传电信 |
桃园市 |
台湾 |
1.169.65.0/24 |
中华电信 |
羲之 |
台湾 |
122.100.113.0/24 |
台湾手机 |
宜兰 |
台湾 |
185.93.229.0/24 |
Sucuri安全 |
阿什 |
美国 |
128.61.64.0/24 |
佐治亚理工学院 |
亚特兰大 |
美国 |
216.66.111.0/24 |
佛蒙特州电话 |
沃林福德 |
美国 |
- :具有
- :是
- :不是
- :在哪里
- 06
- 1
- 10
- 100
- 11
- 114
- 118
- 12
- 120
- 121
- 13
- 14
- 15%
- 16
- 167
- 17
- 173
- 179
- 19
- 195
- 20
- 202
- 2020
- 2023
- 2024
- 210
- 212
- 214
- 216
- 220
- 224
- 23
- 237
- 24
- 247
- 25
- 26%
- 28
- 30
- 33
- 36
- 39
- 40
- 41
- 43
- 51
- 60
- 65
- 66
- 7
- 70
- 75
- 8
- 87
- 89
- 9
- 98
- a
- Able
- 关于
- ACCESS
- 根据
- 账号管理
- 账户
- 后天
- 法案
- 行动
- 要积极。
- 行为
- 加
- 添加
- 增加
- 额外
- 地址
- 地址
- 添加
- 再次
- 驳
- 经纪人
- 针对
- 算法
- 对齐
- 所有类型
- 让
- 允许
- 已经
- 还
- 时刻
- 其中
- an
- 分析
- 分析
- 和
- 全年
- 每年
- 匿名
- 另一个
- 回答
- 任何
- API
- APIs
- 应用
- 应用程序商店
- Apple
- 应用领域
- 应用领域
- 使用
- 应用
- APT
- 架构
- 档案
- 保健
- 论点
- ARM
- 排列
- AS
- 亚洲
- 分配
- 相关
- At
- 攻击
- 攻击
- 尝试
- 属性
- 澳大利亚
- 作者
- 自动
- 可使用
- 背部
- 后门
- 后门程序
- 饵
- 基于
- 基本包
- BE
- 很
- before
- 作为
- 相信
- 属于
- 如下。
- 最佳
- 之间
- 都
- 分支机构
- 建
- 但是
- 按键
- by
- 被称为
- 营销活动
- CAN
- 能力
- 利用
- 资本
- 携带
- 世纪
- 证书
- 证书
- 链
- 挑战
- 更改
- 字符
- 查
- 检查
- 支票
- 中国
- 中文
- 选择
- 城市
- 清除
- 云端技术
- 码
- 收集
- COM的
- 组合
- 沟通
- 公司
- 相比
- 完成
- 元件
- 组件
- 全面
- 妥协
- 妥协
- 计算
- 计算
- 一台
- 流程条件
- 开展
- 信心
- 配置
- 连接
- 地都
- 连接
- CONTACT
- 包含
- 包含
- 包含
- 内容
- 继续
- 连续
- 谈话
- 正确
- 相应
- 可以
- 国家
- 崩溃
- 创建信息图
- 创建
- 创建
- 加密技术
- 目前
- 习俗
- data
- 资料结构
- 日期
- 重要日期
- 天
- 一年中的
- 默认
- 默认
- 防御
- 交付
- 交货
- 证明
- 根据
- 描绘
- 部署
- 部署
- 部署
- 部署
- 描述
- 描述
- 目的地
- 细节
- 检测
- 开发商
- 研发支持
- 发展公司
- 设备
- 不同
- 消化
- 数字
- 目录
- 目录
- 发现
- 发现
- 分配
- 分
- do
- 文件
- 不
- 别
- 向下
- 下载
- 下载
- 下载
- 驾驶
- 司机
- 驱动器
- 下降
- 下降
- 滴
- 每
- 最早
- 缓解
- 东部
- 教育
- 八
- 或
- 嵌入式
- 加密
- 结束
- 工程师
- 提高
- 诱人
- 整个
- 实体
- 错误
- ESET研究
- 建立
- 等
- 事件
- 所有的
- 究竟
- 例子
- 只
- 执行
- 执行
- 执行
- 执行
- 渗出
- 预期
- 出口
- 扩展
- 延期
- 失败
- 假
- 二月
- 节
- 部分
- 字段
- 数字
- 想通
- 文件
- 档
- 最后
- 找到最适合您的地方
- 火墙
- 姓氏:
- 固定
- 流
- 其次
- 以下
- 如下
- 针对
- 格式
- 公式
- 发现
- 四
- 骨架
- Free
- 止
- ,
- 功能
- 功能
- 功能
- 功能
- 进一步
- 搜集
- 生成
- 产生
- 得到
- 得到
- 越来越
- GOES
- 谷歌
- 政府
- 政府实体
- 图形
- 团队
- 组的
- 处理
- 硬件
- 哈希
- 哈希
- 散列
- 有
- 保持
- 高
- 高调
- 更高
- 穿孔
- 孔
- 香
- 香港
- 主持人
- 托管
- 托管
- 但是
- HTML
- HTTP
- HTTPS
- ID
- 确定
- 识别码
- IDS
- if
- 说明
- 图片
- 重要
- in
- 其他
- 包括
- 包含
- 指标
- 印度
- 指标
- 个人
- 影响
- 信息
- 基础设施
- 注入
- 输入
- 输入
- 咨询内容
- 内
- 安装
- 安装
- 安装
- 代替
- 研究所
- 集成
- 英特尔
- 房源搜索
- 拟
- 兴趣
- 内部
- 国际
- 国际
- 成
- IP
- IP地址
- IP地址
- 发行
- IT
- 它的
- 一月
- 日本
- JavaScript的
- io
- jQuery的
- JSON
- 只是
- 不停
- 键
- 键
- 知道
- 知识
- 已知
- 香港
- 语言
- 晚了
- 后来
- 最新
- 发射
- 推出
- 发射
- 层
- 最少
- 合法
- 杠杆
- 自学资料库
- 喜欢
- 清单
- 已发布
- 监听
- 书单
- 生活
- 加载
- 装载机
- 装载
- 本地
- 位于
- 圖書分館的位置
- 看
- MAC
- 机
- MacOS的
- 魔法
- 主要
- 大陆
- 主要
- 多数
- 马来西亚
- 恶意
- 恶意软件
- 管理
- 许多
- 假面舞会
- 匹配
- 火柴
- 匹配
- 可能..
- MD5
- me
- 意
- 有意义的
- 意思
- 机制
- 内存
- 的话
- 条未读消息
- 元数据
- 方法
- 可能
- 失踪
- 改性
- 修改
- 模块化
- 模块
- 更多
- 最先进的
- 移动
- 多
- 必须
- 缅甸
- 姓名
- 命名
- 必要
- 打印车票
- 网络
- 网络
- 全新
- 消息
- 下页
- 尼日利亚
- 没有
- 注意
- 通知
- 数
- 对象
- 获得
- 获得
- 获得
- 获得
- 场合
- of
- 优惠精选
- 官方
- 官方网站
- 老
- 老年人
- on
- 一旦
- 一
- 仅由
- 到
- 操作
- 操作系统
- 操作
- 运营商
- or
- 组织
- 组织
- OS
- 其他名称
- 除此以外
- 我们的
- 输出
- 产量
- 超过
- 己
- 包
- 包
- 页
- 参数
- 过去
- 径
- 路径
- 坚持
- 菲律宾
- 片
- 件
- 地方
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 请
- 点
- 构成
- 潜力
- 当下
- 呈现
- 防止
- 预览
- 以前
- 先前
- 私立
- 市场问题
- 所得款项
- 过程
- 过程
- 产生
- 产品
- 本人简介
- 程序
- 促进
- 协议
- 提供
- 代理
- 国家
- 公然
- 出版
- 目的
- 质量
- 检疫
- 询问
- 范围
- 范围
- 达到
- 接收
- 注册处
- 有关
- 其余
- 切除
- 去除
- 给予
- 呈现
- 呈现
- 一个回复
- 报道
- 业务报告
- 代表
- 请求
- 需要
- 研究
- 研究人员
- 提供品牌战略规划
- 反转
- 定位、竞价/采购和分析/优化数字媒体采购,但算法只不过是解决问题的操作和规则。
- 运行
- 运行
- 锈
- 盐
- 同
- 样品
- 预定
- 脚本
- 其次
- 次
- 部分
- 安全
- 保安
- 看到
- 看到
- 选择
- 发送
- 九月
- 已服务
- 服务器
- 服务器
- 服务
- 特色服务
- 几个
- 共用的,
- 共享
- 壳
- 应该
- 如图
- 作品
- 侧
- 签名
- 签
- 签约
- 类似
- 自
- 尺寸
- So
- 软件
- 软件开发
- 方案,
- 东南
- 太空
- 具体的
- 特别是
- 指定
- 阶段
- 实习
- 明星
- 个人陈述
- 州
- 商店
- 存储
- 善用
- 串
- 结构体
- 结构化
- 成功
- 这样
- 供应
- 供应链
- 支持
- 可疑
- Switch 开关
- 系统
- 表
- 台湾
- 拍摄
- 需要
- 目标
- 针对
- 瞄准
- 目标
- 任务
- 任务
- 团队
- 科技
- 专业技术
- 终端
- 领土
- 比
- 这
- 信息
- 菲律宾人
- 其
- 他们
- 他们自己
- 然后
- 那里。
- 因此
- 他们
- Free Introduction
- 那些
- 威胁
- 三
- 通过
- 始终
- 次
- 时间表
- 时间戳
- 至
- 一起
- 象征
- 工具
- 工具箱
- 合计
- 翻译
- true
- 信任
- 二
- 类型
- 普遍
- 无法
- 下
- 理解
- 独特
- 联合的
- 美国
- 大学
- 不明
- 即将上市
- 最新动态
- 网址
- us
- 使用
- 用过的
- 用户
- 用户
- 使用
- 运用
- 平时
- 折扣值
- 价值观
- 变种
- 版本
- 版本
- 非常
- 通过
- 受害者
- 受害者
- 越南
- 参观
- 参观
- 游客
- 访客
- 访客
- 是
- we
- 卷筒纸
- 您的网站
- 网站
- 井
- 为
- 什么是
- ,尤其是
- 是否
- 这
- WHO
- 宽
- 大范围
- 宽度
- 维基百科上的数据
- 将
- 窗户
- 中
- 话
- 书面
- 但
- 和风网
- 压缩