前言
蔓灵花(T-APT-17、BITTER)APT组织是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织,该APT组织为目前活跃的针对境内目标进行攻击的境外APT组织之一。该组织主要针对政府、军工业、电力、核等单位进行攻击,窃取敏感资料,具有强烈的政治背景。
正文
伪装成PDF文件
打开之后会释放两个文件
可以看到利用了自解压
开头可以看到在做大量运算
调试之后,可以看到解密出一些配置信息
动态的获取API
创建一个防止多开的信号量
之后可以看到进入一个循环
在做网络初始化
信息收集
之后拼接字符串,发送回传信息包
下载运行后续阶段
原文始发于微信公众号(Th0r安全):APT组织蔓灵花某样本分析
