今日APT相关情报/lazarus/DarkHydrus/tb

1、Hwp恶意代码伪装成韩国的金融监管局

16个字节的异或作为带有恶意代码被加密。

解码后,会获得Post Script代码和shell代码

IOC:

https://tpddata[.]com/flash/gcoin2[.]swf

https://tpddata[.]com/flash/gcoin4[.]swf

上面的恶意样本的回连C&C

www[.]pakteb[.]com/include/left[.]php

www[.]pakteb[.]com/include/left[.]php

www[.]nuokejs[.]com/contactus/about[.]php

www[.]qdbazaar[.]com/include/footer[.]php

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180808G1Y17X00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券