ZipArchive 目录遍历POC

求大佬转发关注，小弟日后相报，最近一段时间打算开坑写一些浅谈威胁情报落地的新想法的文章，欢迎留言建议

一、

Urpage【新命名组织】与Bahamut，confucius，白象的关联

https://blog.trendmicro.com/trendlabs-security-intelligence/the-urpage-connection-to-bahamut-confucius-and-patchwork/

关联对象 ：

（1）pikrpro[.]eu （Bahamut）

（2）使用相同的Delphi文件窃取程序 （孔子和白象）

（3）漏洞文档在其它组织的服务器中发现（孔子）

（4）从另一个组织的代码的基础上进行修改使用（Bahamut）

pikrpro[.]eu被Urpage 用于进行钓鱼网站攻击，

pikrpro[.]eu这个域名还关联了两个活动

a.

利用CVE-2017-8750的文档，最后下载释放C&C为appswonder[.]info的VB后门

b.

利用CVE-2017-12824(InPage Reader的漏洞)的InPage文件，释放两个文件，一个没毛病，一个是VB后门回连C&C为 referfile[.]com

以上都与Bahamut有关

除了delphi后门相似外，与孔子组织相关的线索为

两个利用不同漏洞的恶意RTF文件，但下载的脚本都包含两个base64编码的URL，一个用于下载诱饵文档，一个用于下载payload

（11882），这个所属孔子。

（0199），这个的回连C&C是twitck[.]com，属于Urpage

以下为4个组织的武器对比图，×表示有

Urpage组织的资产汇总

https://documents.trendmicro.com/assets/Appendix-TheUrpageConnectiontoBahamutConfuciusandPatchwork.pdf

二、

#漏洞利用# ZipArchive 2.1.4目录遍历 0-Day

https://github.com/Proteas/ZipArchive-Dir-Traversal-PoC

看见一个formbook会去访问中文黄网，引流一大趋势么。

要网站可私聊。