繼前一篇 分析一個加料的 Telegram for Windows 中文版安裝程式 之後,陸續追蹤到 2021 現在,該集團仍然持續在活躍的行動中。對於偽造 Telegram 網站誘使使用者下載捆綁木馬程式的攻擊手法,在短時間內便發展出多種不同的型態,持續的改進其隱蔽手法和感染方式。 Continue reading
紀錄一下分析一個被重新打包加料過的中文版 Telegram 安裝程式的過程和發現的東西。
Continue readingA distributed honeypot system based on T-Pot 20.06.1, hello Filebeat!
Continue readingWe got a new variant of XLoader
via a link http://wrssa[.]xyz
from scam SMS message in mid-March 2020. It is a new version of XLoader
using Blogspot and Pinterest to deliver C&C address and phishing sites.
我們在三月中旬經由詐騙簡訊的連結 http://wrssa[.]xyz
獲得了一個 XLoader 的新變種樣本,這個新變種利用 Blogspot 和 Pinterest 來隱藏 C&C 位址以及釣魚網站。
In July 2019, one of our customer’s company suffering the APT attack and we start the investigation immediately. During the investigation we found a brand new backdoor sample, which implements lots of features by using Dropbox API, using Dropbox like a C&C server. After the reverse engineering, we extract the Dropbox token used by the sample, dig into Dropbox folder, and reveal the whole functional structure. Continue reading
2019 年 7 月,我們發現一個合作的客戶疑似遭受 APT 攻擊並立刻著手調查。調查過程中發現了一種全新的後門樣本,該樣本的特殊之處在於攻擊者利用 Dropbox API 實現了一個具備多種功能的後門惡意程式,並且完美地將 C&C 伺服器建構在 Dropbox 上。透過惡意程式分析,我們獲得了樣本所使用的 Dropbox API Token 並且能夠進一步的深入探討整個架構的運作原理。 Continue reading
A distributed honeypot system based on T-Pot 19.03.1
Continue readingA quick look of a fake 0day exploit :)
Continue readingUse parse_url($url)
to check $url
‘s scheme and pass $url
to file_get_contents()
will lead to LFR issue.