加入收藏 | 设为首页 | 会员中心 | 我要投稿 银川站长网 (https://www.0951zz.com/)- 云通信、基础存储、云上网络、机器学习、视觉智能!
当前位置: 首页 > 服务器 > 安全 > 正文

APT组织Donot多阶段通信过程解析

发布时间:2023-09-07 11:31:36 所属栏目:安全 来源:
导读:自2016起,一直在活动中的APT组织是 Donnot。该组织主要针对巴基斯坦、中国、斯里兰卡、泰国等国家和克什米尔地区发起攻击,攻击目标包括政府机构、国防军事部门、外交部以及大使馆。Donot组织主要使用钓鱼邮件作为初

自2016起,一直在活动中的APT组织是 Donnot。该组织主要针对巴基斯坦、中国、斯里兰卡、泰国等国家和克什米尔地区发起攻击,攻击目标包括政府机构、国防军事部门、外交部以及大使馆。Donot组织主要使用钓鱼邮件作为初始接入的手段,利用宏代码加载下一阶段载荷,通过下载者下载各类功能插件,包括:键盘记录、屏幕捕捉、文件窃取、浏览器信息窃取以及反向shell等插件。

恶意文档执行后,通过3个阶段的通信完成整个窃密过程。第一阶段,从服务器A处通过HTTP协议获取模块下载器;第二阶段,各个数据源插件将不同点窃取的数据通过对应的TLS通信网络协议上传到客户端和服务器C上。

第一阶段:获取下载者木马

文档中包含恶意宏代码,执行后会将shellcode注入到Excel.exe进程中。shellcode通过HTTP协议从http://one.localsurfer.buzz/*****/MU3gLGSnHhfDHRnwhlILSB27KZaK2doaq8s9V5M2RIgpeaD8.(png|mp4)获取下载者木马。

第二阶段:数据窃取

文件窃取插件读取Desktop、Document、Downloads文件夹中后缀名为xls、xlxs、ppt、pptx、pdf、inp、opus、amr、rtf、ogg、txt、jpg和doc的文件,将相关数据使用AES-128-CBC加密后存储到C:\ProgramData\Pack0ges\Tvr\目录下,通过TLS协议经过https://*****/kolexretriya78ertdcxmega895200.php上传到服务器。这样就可以实现远程访问了。如果不想使用tls协议,也可以通过ftp来实现远程访问。

(编辑:银川站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

    推荐文章