“折纸”行动：针对南亚多国军政机构的网络攻击

International Conference On PAKISTAN-CHINA-IRAN: A TRIDENT OF REGIONAL CONNECTIVITY, December 19, 2017.
Organized by: The Institute of Strategic Studies, Islamabad
2017年12月19日，伊斯兰堡战略研究所召开“巴基斯坦－中国－伊朗国际会议：区域互联互通的传统”的议程安排。

 
BOARD OF INVESTMENT OF SRI LANKA
APPLICATION FOR APPROVAL OF AN INVESTMENT
UNDER SEC. 17 OF THE BOI LAW
斯里兰卡投资委员会（BOI）投资申请表。

 
Range, Division, Desk, Tele:No
IG's Command Room
Police Emergency Service
Eastern Range South
North Central Range ...
斯里兰卡各境内机构的紧急联系方式。

 
EIGHTH REGIONAL 3R FORUM IN ASIA AND THE PACIFIC. 9-12 April 2018.
Brilliant Convention Centre, Indore, Madhya Pradesh, India
2018年4月9-12日期间，印度中央邦印多尔辉煌会议中心召开亚太地区第八届3R论坛。

GOVERNMENT OF PAKISTAN
VISA APPLICATION FORM
巴基斯坦政府签证申请表。

Pakistan-Afghanistan Graduate Association
(PAGA)
巴基斯坦-阿富汗研究生协会（PAGA）简介。
        以样本“Karachi GOlf Club Newsletter june 2017.pdf.exe”为例，
表3-3 样例样本2
病毒名称
Trojan[Downloader]/Win32.PsDownload
原始文件名
Karachi GOlf Club Newsletter june 2017.pdf.exe
MD5
c671362015dab11c0b552d8b4112825a
文件大小
13.2 MB (13,884,914 字节)
文件格式
Win32 EXE
最后编辑时间
2017-07-03 13:57:09
时间戳
2016:08:14 20:15:49
VT检测结果
10 / 63
        其被运行后会依次打开用于社工掩护的PDF文档“news-ltr.pdf”，和木马文件“RichAudio.exe”：

图3-14 自解压样本“Karachi GOlf Club Newsletter june 2017.pdf.exe”
        “news-ltr.pdf”的内容为：2017年4月至5月，巴基斯坦卡拉奇高尔夫俱乐部会员每月通讯，主要介绍该高尔夫俱乐部高级会员的相关新闻活动：

图3-15“news-ltr.pdf”的正文
        “RichAudio.exe”是Python语言编写的木马，图标和名称皆伪装成系统音频相关程序，C2为“110.10.176.193”（其他样本还同时存在备用的C2：“pakcert.hopto.org”），木马能以邮件附件的形式，将本地文件发送至C2下发的指定Gmail账号，完整指令功能如表3-3所示：

图3-16 木马备用C2的情形


图3-17 木马的邮箱发送功能及其实现
表3-4 Python木马支持的指令功能
指令
功能
quit
关闭连接，退出木马
shell
执行PowerShell命令，或创建子进程
chdir
切换目录
put
上传文件至C2
mail
发送本地文件至C2指定的Gmail邮箱
dne
创建线程
3.3 压缩打包的快捷方式
        压缩打包用于社工掩护的PDF文档文件和双扩展名的恶意LNK文件，是行动中使用的第三种社工方式。打包后的文件可挂载于一个网站用于钓鱼攻击：
        http[:]//auniversity.myftp.org/Registration_Details.zip?id=P36

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9]  下一页

 5/10   首页 上一页 3 4 5 6 7 8 下一页 尾页