avatar

目录
Confucius - 利用Pegasus间谍软件相关诱饵向巴基斯坦发起攻击

Confucius - 利用Pegasus间谍软件相关诱饵向巴基斯坦发起攻击

攻击活动

从趋势科技披露的信息来看,攻击活动起始于8月初,第一次投递诱饵为攻击者伪装为巴基斯坦武装部队的公关部门 (info@ispr.gov.pk)向目标发送钓鱼邮件,钓鱼邮件中并没有任何恶意内容。两天后,攻击者发送了第二封钓鱼邮件“据称是巴基斯坦军方关于 Pegasus 间谍软件的警告”,其中包含了一个超链接与一个解压密码,使攻击者点击超链接,下载恶意宏文档并使用邮件中提到的密码打开文档。如图为钓鱼邮件截图,其中包含了超链接与密码:

样本分析

Word文档

将恶意宏文档下载回来后,使用钓鱼邮件中提到的密码打开:

值得注意的是,文档编辑信息上,攻击者也使用了一个意思巴基斯坦人的姓名,并且在文档的备注中,写了一个PE文件。

宏代码

宏代码中攻击者让受害者在点击“SUBMIT”按钮时,会弹出错误“Phone Number Not Found”,并在自动运行时调用”Mycolor”函数。

从文档的属性中取出PE文件,保存至%TMP%\skfk.txt并使用Powershell加载文件

Tysdf.dll

前面释放利用Powershell加载的PE文件原始文件名为“Tysdf.dll”,前阶段利用Powershell加载执行Class1.sadk()方法,在sadk()方法中,再调用执行了Class1.sdlfghjgks(),从“parinari.xyz/SowpnTdb.txt”读取内容并执行其中的ndmsbfl()方法。

SowpnTdb.dll

ndmsbfl()方法中,从C2地址“parinari.xyz/Msdjkfh.txt”读取后续内容,并创建计划任务,利用Powershell执行。

Msdjkfh.dll

Msdjkfh.dll还是一个下载器,从”parinari.xyz/Rwlksdnasjd.txt”读取内容

Rwlksdnasjd.dll

最终的攻击内容为读取主机下指定目录下的指定后缀文件,并计算成功遍历到的文件的Hash

当找到与所列扩展名之一匹配的文件时,将计算其 MD5 哈希值并将其与从C2服务器检索的hash列表进行比较。

如果是新文件的哈希,则将文件发送到C2地址“pirnaram.xyz”

IOC

dacf7868a71440a7d7d8797caca1aa29b7780801e6f3b3bc33123f16989354b2

7e3349c6dc753cd5b5ae5d89d4f4952838d31e4780dd2872cc0c6ae8b962cada

eee98e5b88e109b24187ba51f7f8c1b2456ab6376e7d9ffcb8e7f48d1df30533

f10541d934aa04fdd82839b1d1767489191fcecc6026ca5e12a19e9c84562b19

6e61849c5dae0a3244cdc7d10ec7b24b8d8ba9b154685e9a194d4ed76f75b2d6

63ca532a13ff909b4b7f72b9a094fa3fc59713984f645664c95a66f14be5f96a

43698d70087aa875c4384b59cacd8eff56bd0bff3be20e69b98613ec5184b41f

parinari.xyz

pirnaram.xyz

文章作者: Yenn_
文章链接: https://0xdf1001f.github.io/2021/08/23/Confucius-%E5%88%A9%E7%94%A8Pegasus%E9%97%B4%E8%B0%8D%E8%BD%AF%E4%BB%B6%E7%9B%B8%E5%85%B3%E8%AF%B1%E9%A5%B5%E5%90%91%E5%B7%B4%E5%9F%BA%E6%96%AF%E5%9D%A6%E5%8F%91%E8%B5%B7%E6%94%BB%E5%87%BB/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Wei's Blog

评论