近期针对土耳其和叙利亚的Promethium活动分析＋链接ioc情报等

祝同行1024节，身体健康，远离疾病，少加班，多运动。

1、近期针对土耳其和叙利亚的Promethium活动分析

恶意软件名：Promethium

别名：StrongPity

时间：2018.5到8月

主要：更新了武器，新增叙利亚目标

新释放的文件名和路径

%windows%\system32\IpeOve32.exe

%temp%\ AC315BA-864X-64AA-C23B-C3DDC042AB2\evntwn32.xml

%temp%\AC315BA-864X-64AA-C23B-C3DDC042AB2\mscorw32.xml

%windows%\system32\netplviz.exe

利用powershell尝试通过排除系统和临时目录以及关闭样本提交和禁用行为监视来更改Windows 10系统上Windows Defender的默认行为。

powershell.exe Set-MpPreference -ExclusionPath 'C:\Windows\System32', 'C:\Windows\SysWOW64', 'C:\DOCUME~1\~1\LOCALS~1\Temp' -MAPSReporting 0 -DisableBehaviorMonitoring 1 -SubmitSamplesConsent 2

http post 请求

user-agent 固定

Edge/ 8.0（Windows NT [操作系统版本号] ; Win [32或64]; [处理器架构]

content-type还重复了，edge浏览器的标准也不对

相关链接：

https://threatvector.cylance.com/en_us/home/whack-a-mole-the-impact-of-threat-intelligence-on-adversaries.html

该活动的相关链接

a.

针对意大利和比利时加密用户的StrongPity水潭攻击。https://securelist.com/on-the-strongpity-waterhole-attacks-targeting-italian-and-belgian-encryption-users/76147/

b.

StrongPity2间谍软件取代了MitM活动中的FinFisher

https://www.welivesecurity.com/2017/09/21/new-finfisher-surveillance-campaigns/

c.

在土耳其部署政府间谍软件并影响埃及用户

https://citizenlab.ca/2018/03/bad-traffic-sandvines-packetlogic-devices-deploy-government-spyware-turkey-syria/

d.

双0day攻击：PROMETHIUM和NEODYMIUM的欧洲

http://download.microsoft.com/download/E/B/0/EB0F50CC-989C-4B66-B7F6-68CD3DC90DE3/Microsoft_Security_Intelligence_Report_Volume_21_English.pdf

2、

一次lazarus的钓鱼文档的完整简单分析，最后释放的是Manuscrypt

3、

使用sload分发ramnit,针对英国和意大利用户

https://www.proofpoint.com/us/threat-insight/post/sload-and-ramnit-pairing-sustained-campaigns-against-uk-and-italy

4、

ZombieboyMiner（僵尸男孩矿工），挖矿团伙

5、

各类安卓银行木马在google paly上安居落户，ioc信息挺多

https://www.welivesecurity.com/2018/10/24/banking-trojans-continue-surface-google-play/

假信息

检测android模拟器的功能代码