近期,360安全大脑监测到APT-C-53(Gamaredon)组织相关的网络攻击活动愈加频繁,发现该组织开始下发开源DDoS木马程序“LOIC”进行DDoS攻击活动。
在对APT-C-53(Gamaredon)组织的网络攻击进行监测过程中,我们发现了其多条攻击链:钓鱼邮件、文件远程模板注入执行、SFX自解压程序执行恶意脚本、Wiper恶意软件的投放、以及注册表写入载荷计划任务执行等等。
DDoS攻击任务下发涉及的C&C域名地址:
|
decree.maizuko.** |
|
caciques.gloritapa.** |
|
delicate.maizuko.** |
|
jealousy.jump.artisola.** |
|
dense.gitrostan.** |
|
decision.lotorgas.** |
|
decency.maizuko.** |
|
junior.jacket.artisola.** |
|
defective88.maizuko.** |
|
deception.lotorgas.** |
|
destination.delight.coffiti.** |
|
cachinate.gloritapa.** |
|
January.josie.artisola.** |
|
defective19.maizuko.** |
|
deception.lotorgas.** |
|
destination.delight.coffiti.** |
DDoS程序样本文件信息:
|
MD5 |
5486BCE58C5D30C7B3F940079C33B95F |
|
CompileTimestamp |
2022/3/4 21:53 |
|
FileSize |
156.16K |
DDoS软件由VBS脚本以及Powershell脚本进行下发运行,LOIC则为GitHub所开源的软件。(https://github.com/NewEraCracker/LOIC)
|
5486BCE58C5D30C7B3F940079C33B95F e6655dedab03f67272542ed736c0d44d |
|
be3b5e1525d8ab5af3a54b938c22df24 |
|
534bb9ccf8a6d8742ba6f68a67d2e2f2 |
|
d4683582d8bbaee8ffa959637234486e |
|
9f3791d404f8710390fffa95aaa73b20 |
|
6151a1019b01ea4d9f4b31cd922fa5a4 |
|
5403b82909a1bf2902dbf916f3d3adee |
|
daa93dd8aa1843d81179ac2375bb7a57 |
|
a4cf1a8c599a9f2de144075eba6de9d9 |
|
a0ec350d97c4bb602ca62f5dd5c1d7c7 |
|
6e935cf5bbfc7bbca15fba36573ba271 |
|
f37eb0915783d6a698eb2719885a7afe |
|
558f254e4bc2410cd39a3cff735b520d |
|
b09a504ebd900c40c4ca1ee66ab874a1 |
|
e4d2d113bc8eaa47cd2b0417c28b4232 |
|
c33531d82af89d1753e03438c7fabb75 |
|
52927e7034ef1c5ced76397c7a9451fc |
|
5942d41337ee474c4f5ba2f94471e313 |
360高级威胁研究院
原文始发于微信公众号(360威胁情报中心):APT-C-53(Gamaredon)新一轮DDoS攻击任务分析
