-
-
最近(据称)【lazarus组织】针对安全研究人员钓鱼的【样本】-分析求助
-
2021-1-30 20:26
2534
-
最近(据称)【lazarus组织】针对安全研究人员钓鱼的【样本】-分析求助
最近看twitter上老多安全研究人员晒自己被钓鱼的截图,洒家送外卖的空闲也把样本下载来分析分析。可惜临近年关,洒家忙于送餐,技术更是难以望论坛各位大佬项背。故把样本分享出来,看看哪位好兄弟能帮我解决一下困惑。
这个样本是一个64位的dll文件,根据https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/,恶意样本被触发的命令行是rundll32.exe path/to/dll Bx9yb37GEcJNK6bt 4901。洒家调试的时候发现了导入函数IsDebuggerPresent,故在x64dbg中隐藏了调试器,可惜还是报错:rundll错误,找不到指定的模块(用depends看了看应该没啥缺的dll)。
样本链接如下:https://s.threatbook.cn/report/file/4c3499f3cc4a4fdc7e67417e055891c78540282dccc57e37a01167dfe351b244/?sign=history&env=win7_sp1_enx64_office2013
更多相关内容如下:
https://norfolkinfosec.com/dprk-malware-targeting-security-researchers/
https://mp.weixin.qq.com/s/W-C_tKVnXco8C3ctgAjoNQ
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
