作者:360威脅情報中心
公眾號:360威脅情報中心
背景
2019年1月9日,360威脅情報中心捕獲到多個專門為阿拉伯語使用者設計的誘餌文檔。釣魚文檔為攜帶惡意宏的Office Excel文檔,惡意宏代碼最終會釋放執行一個C#編寫的後門程序,該後門程序利用了複雜的DNS隧道技術與C2進行通信並執行指令,且通過GoogleDrive API實現文件的上傳下載。
360威脅情報中心經過溯源和關聯后確認,這是DarkHydrus APT組織針對中東地區的又一次定向攻擊行動。DarkHydrus APT組織是Palo Alto在2018年7月首次公開披露的針對中東地區政府機構進行定向攻擊的APT團伙[1]。而在此之前,360威脅情報中心曾發現並公開過該組織使用SettingContent-ms文件任意代碼執行漏洞(CVE-2018-8414)進行在野攻擊的樣本,並進行了詳細分析[2]。
時間線
與DarkHydrus APT組織相關的時間線如下:
[3]. https://ti.360.net/
[4]. https://twitter.com/craiu/status/1083305994652917760