Rust加载器 第一阶段shellcode 第二阶段shellcode 溯源关联 总结 防护建议 IOC 参考链接 团伙背景 海莲花,又名OceanLotus、APT32,奇安信内部跟踪编号APT-Q-31,是由奇安信威胁情报中心最早披露并命名的一个APT组织。自2012年4月起,海莲花针对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织...
Rust加载器首先读取EXE文件自身数据,加密数据的长度保存在文件末尾倒数24字节位置,长度为0x4D838,用于XOR解密的key从文件末尾倒数20字节开始。解密得到的内容包括下一阶段的shellcode。加密数据位于该样本文件的偏移位置0x462C1,而EXE最后一个段”\.reloc”在0x45000处结束,可见加密数据是附加在原始EXE之...
海莲花组织采用Rust语言实现KSRAT远控木马,并去除了样本中AES加密算法的特征,显著降低了研究人员的分析速度。KSRAT在通信上别具匠心,每个样本使用了不同的URL,并且在URL中掺杂了随机字符,以避免流量检测系统通过URL识别其恶意流量。然而,自2023年至今,KSRAT并未改变其心跳包的XOR密钥和数据结构。尽管心跳包长度因随机...
同时可以编译为 C、C++ 或 JavaScript,以便 Nim 可用于所有后端和前端需求。 近期,研究人员发现,恶意软件的开发者越来越多地使用 Go、Rust、Nim 和 DLang 等鲜为人知的编程语言来创建新的攻击工具。根据最近的统计报告显示,使用这些语言的恶意软件家...
从2023 年 12 月份至今,观察到中文互联网上有一款由 rust 语言编写的勒索软件非常活跃,国内大量机器被勒索,仅在政企终端中的受害单位高达 20 余个,将其称之为 Rast ransomware。 经过长时间的跟踪共捕获到三个版本的 Rast 勒索软件,版本仍在持续迭代中。Rast 勒索软件有一个非常特殊的逻辑:勒索完成后会将本机的...
海莲花(APT-Q-31)组织数字武器Rust加载器技术分析 咨询 自2012年4月起,海莲花针对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击... 奇安信威胁情报中心 180817围观 · 3收藏 · 9喜欢 2024-04-23...
不断更新攻击手法:该组织在近年来的攻击活动中不断更新攻击手法,如使用Rust编写的加载器、内存加载Cobalt Strike木马等,以绕过安全软件的检测。 利用Cloudflare Tunnel服务隐藏真实服务器IP:海莲花组织在部分攻击活动中利用Cloudflare Tunnel服务作为C&C服务器,隐藏真实服务器IP,增加了追踪和打击的难度。 五、防御建议 加...
海莲花组织采用Rust语言实现KSRAT远控木马,并去除了样本中AES加密算法的特征,显著降低了研究人员的分析速度。KSRAT在通信上别具匠心,每个样本使用了不同的URL,并且在URL中掺杂了随机字符,以避免流量检测系统通过URL识别其恶意流量。然而,自2023年至今,KSRAT并未改变其心跳包的XOR密钥和数据结构。尽管心跳包长度因随机...
从2023 年 12 月份至今,观察到中文互联网上有一款由 rust 语言编写的勒索软件非常活跃,国内大量机器被勒索,仅在政企终端中的受害单位高达 20 余个,将其称之为 Rast ransomware。 经过长时间的跟踪共捕获到三个版本的 Rast 勒索软件,版本仍在持续迭代中。Rast 勒索软件有一个非常特殊的逻辑:勒索完成后会将本机的...