↑↑点关注呗↑↑点关注呗↑↑
前些日子,jpcert报道了恶意软件plead分析,报告都指向APT组织blacktech,一个长期活跃在亚洲地区的组织。该次事件披露了该组织正在攻击日本的事实,并对plead最新数据通讯手法进行了阐述,详细可点击框框处。
相关链接:APT组织blacktech的plead恶意软件分析
https://blog.jpcert.or.jp/2018/06/plead-downloader-used-by-blacktech.html
而ESET在今日,发布了一篇报告,文中称plead系列均采用了D-Link的合法证书。如下图所示
目前,该证书在2018年7月3日被D-Link撤销,具体公告如下
相关链接:
https://securityadvisories.dlink.com/announcement/publication.aspx?name=SAP10089
除了D-Link证书外,还有一家中国台湾的安全公司证书也被滥用,公司名为全景软件。
如下图Changing Information Technology Inc.
尽管Changing Information Technology Inc.证书于2017年7月4日被撤销,但
BlackTech集团仍在使用它来签署他们的恶意工具。
这也充分说明了该APT组织的技术手段高超,连这些大企业的数字签名证书都能黑过来。
已签名的Plead下载器均会去下一段加密shellcode,最后解密后会再去下载最终的Plead后门模块,具体后门接收的命令后所执行的行为如下
同时,信息窃取模块会主要去窃取以下浏览器所存储的密码信息
Google Chrome
Microsoft Internet Explorer
Microsoft Outlook
Mozilla Firefox
IOC信息
代码签名证书序列号
领取专属 10元无门槛券
私享最新 技术干货