1. 威客安全首页
  2. 安全资讯

网军通过建立假区块链交易网站和Github,从而分发MacOS恶意软件


网军创建皮包公司,这似乎是一种”都市传说”,但是建立一个以假乱真的公司网站,并创建相应的假公司Github作为恶意软件分发渠道,这个最新的案例,黑鸟便来聊一聊。


该网军来自朝/鲜,名为Lazarus,作为曾经发起索尼娱乐攻击事件,针对全球金融银行SWIFT系统的攻击,以及数个针对美国、韩国军事承包商相关的攻击事件,还有影响最为深远的WannaCry勒索软件攻击,目前圈内普遍归因于其。


而本次的案例,简单来说,该组织首先,创建了一个新(伪)公司JMT Trading,网址为https://www.jmttrading.org


网军通过建立假区块链交易网站和Github,从而分发MacOS恶意软件

网军通过建立假区块链交易网站和Github,从而分发MacOS恶意软件


从网站性质来看,其为JMT币交易网站,这与Lazarus一直为敛财角色的定位一致。

网军通过建立假区块链交易网站和Github,从而分发MacOS恶意软件


网军通过建立假区块链交易网站和Github,从而分发MacOS恶意软件


点击网站的下载会跳转到Github上

https://github.com/jmttrading/JMTTrader/releases


从项目时间线来看,可见创建时间在2017年9月8号,积蓄已久。

网军通过建立假区块链交易网站和Github,从而分发MacOS恶意软件

可惜的是,在我访问了一下这个页面后,他们的账号都被封了= =然后页面也进不去了。


样本一开始由malwrhunterteam发现,并关联至卡巴斯基


网军通过建立假区块链交易网站和Github,从而分发MacOS恶意软件

网军通过建立假区块链交易网站和Github,从而分发MacOS恶意软件


网军通过建立假区块链交易网站和Github,从而分发MacOS恶意软件


其中VT查杀在10月11日均为0查杀

网军通过建立假区块链交易网站和Github,从而分发MacOS恶意软件


而安装后,实际上和普通的交易软件无异

网军通过建立假区块链交易网站和Github,从而分发MacOS恶意软件

在看过Objective的分析后,更加清楚了分析过程

https://objective-see.com/blog/blog_0x49.html

网军通过建立假区块链交易网站和Github,从而分发MacOS恶意软件


main函数

网军通过建立假区块链交易网站和Github,从而分发MacOS恶意软件


构造C&C服务器的URL:https://beastgoc.com/grepmonux.php


总结下来,该样本为Lazarus网军的AppleJeus后门,此前卡巴斯基曾写过

https://securelist.com/operation-applejeus/87553/


而由于此前其样本泄露了PDB路径,因此将该后门命名为AppleJeus。

Z:jeusdownloaderdownloader_exe_vs2010Releasedloader.pdb


由于时间原因,不展开分析了,大家有兴趣自行查阅。


样本下载地址

https://objective-see.com/downloads/malware/AppleJeus.zip

解压密码

infect3d


上期阅读

网军通过建立假区块链交易网站和Github,从而分发MacOS恶意软件

▲点击图片


网军通过建立假区块链交易网站和Github,从而分发MacOS恶意软件


晚安和早安!

原文始发于微信公众号(黑鸟):网军通过建立假区块链交易网站和Github,从而分发MacOS恶意软件

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

4006-119-120

在线咨询:点击这里给我发消息

邮件:public@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

X