网络安全:公民实验室发现针对香港活动人士的间谍行动

【博闻社】加拿大公民实验室发表了一份研究报告,分析了针对香港亲民活动人士间谍行动中使用的新恶意程序。

据报告,在台湾总统大选前一周,香港的亲民活动人士收到了一封针对性的钓鱼邮件,内含指向Google Drive的2016總統選舉民情中心預測值.rar文件链接。

该rar文件的结构,包含了两个可执行文件 fzyy.exe和wzget.exe。fzyy.exe会向系统写入6个文件,其中maindll.dll在写入前会验证注册表,检查系统有没有安装360、金山、瑞星、微点、江民和Avira杀毒软件,但即便有这些杀毒软件存在,文件仍然会写入。

研究人员将其释放出的恶意程序命名为UP007(dll2.xor),C2服务器的IP地址是59.188.12[.]123,指向了域名 yeaton.xicp[.]net,该域名在2012年曾被用于宣传一个中国VPN服务,鉴于时间相隔比较长,两者之间可能没有关系。

wzget.exe则属于SLServer恶意程序家族,研究人员在分析中发现了病毒的一个调试路径“e:\Working\SVNProject\SLServer\SLServer2.0\release\SLServer.pdb”。

11
Figure 2: File structure of delivered RAR archive. 公民实验室
22、
Figure 7: Hosting infrastructure over time for *.security-centers[.]com 公民实验室
2 Comments

Add a Comment

發佈留言必須填寫的電子郵件地址不會公開。