(又名Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom) ,该组织一直针对于韩国的智囊团,政府组织,新闻组织,大学教授等等进行活动...并且该组织十分活跃.其载荷有带有漏洞的hwp文件,携带恶意宏文档,释放dll载荷的PE文件,远程模板注入技术docx文档,恶意的wsf以及js的脚本文件等
近日,Gcow安全团队追影小组在日常的文件监控中发现该组织正在积极的使用分阶段的恶意宏文档...图4 将c2解密后传到主体函数中
在 c.c.a.c 中,并行执行了两个方法 d() 和 c.c.a.e.c(),分别查看逻辑
?...图片21 Js Dropper的载荷释放主体代码
其显示的诱饵文档截图如下:
?
图片22 诱饵文档截图
其话题主要关于韩国外交部海外任务服务状况的调查表。...该组织也成为了东北亚地区地缘政治下的网络威胁的焦点,当然这值得我们去更多关注该组织的活动,Gcow安全团队追影小组将继续跟踪该组织更多的动向。
?