事件大致如下,该组织在twitter上发布多条加密后的字符串,经鉴定为
AES CBC 256 , IV = {0x00,..,0x0F}

大约 5, 000 命令被解密, 其中一些在这里。북한 = 北朝鲜, 군차량 = 军用车, 안보 = 国家安全
http://www.probateproject[.]com/helper.jpg
http://www.wildrush[.]co.kr/bbs/data/image/user.jpg
http://www.acddesigns[.]com.au/clients/ACPRCM/you.jpg

此后,大致是该组织察觉解密算法已经暴露,因此改变了加密算法。

此外,该组织还有一些新动向
如下列这起利用CVE-2017-8291进行恶意hwp文档构造并投放的案例,最后会释放该组织的标志性远控 ROKRAT家族

详细IOC如下:
(제출용)신청서.hwp
a636cd2f1ba46a9af23f9c0a24f8ee4e
触发漏洞的EPS文件
BIN0001.eps
fced98d03bf14529be7ef8d2af8d9417
ROKRAT:
113637bc6f6f84d74ec2a4d0e988300b
今日推荐阅读:
360发布 蓝宝菇(APT-C-12)-核危机行动揭露
https://mp.weixin.qq.com/s/BmHQsiNIRdgmGBtsAPdjTQ
某组织使用AES CBC 256加密算法在Twitter上发布命令,后因解密算法曝光改变加密方式。利用CVE-2017-8291构造恶意hwp文档,释放ROKRAT远控木马。360揭露蓝宝菇(APT-C-12)核危机行动。
613

被折叠的 条评论
为什么被折叠?



