警惕！APT35组织正利用 Log4j 漏洞发给新型模块化后门

简述 APT35是疑似阿塞拜疆国家支持的APT有组织，又名 Charming Kitten、TA453 或 Phosphorus。1年末11日，研究人员披露，该有组织亦然借助Log4ShellBug，释放新也就是说特性化PowerShell上锁。

简况 APT35有组织在目标应用必需更新之前最先借助该Bug读取易颇受攻击的系统。也就是说特性化有效载荷名为CharmPower，可以处置 C2 无线电通信、监督系统计数，并最终接收、解密和加载其他也就是说特性。APT35有组织活动的颇受到感染链如下图：

该当前也就是说特性可以监督以下主要特性：

验证接入：监督后，脚本通过用作模板 hi=hi 向 google.com 发出 HTTP POST 劝说来回头活动的接入。

也就是说系统计数：该脚本得到 Windows 操作系统版本、电脑名称以及 $APPDATA 路径之前的档案 Ni.txt 的内容；该档案可能由并不相同也就是说特性创建和去除。

链接 CMaxC 外延：恶意软件解码从硬编码方式 URL hxxps://s3[.]amazonaws[.]com/doclibrarysales/3 链接的 CMaxC 外延。

接收、解密、监督后续也就是说特性。

当前也就是说特性随之向 C2 邮寄 HTTP POST 劝说，CMaxC 服务器可以通过以下两种手段之一顺利进行响应：

NoComm：无命令，脚本继续邮寄 POST 劝说。

Base64 运算符：要监督的也就是说特性。该也就是说特性用作简单的代替密码顺利进行加密，并以 base64 编码方式。

Base64 运算符顺利完成下载额外的 PowerShell 或 C# 也就是说特性。“CharmPower”负责解密和加载这些也就是说特性，然后这些也就是说特性与 C2 有组织起来实质上的无线电通信通道。要邮寄到颇受颇受到感染端点的也就是说特性以下是根据 CharmPower 在侦察阶段链接到的也就是说系统原始数据自动转换成的。

C2邮寄的除此以外也就是说特性如下：

应用程序：计数卸载Finder数值并用作“wmic”命令断定颇受颇受到感染系统上内置了哪些应用程序。

屏幕截图：根据所选的频率捕获屏幕截图，并用作硬编码方式具名将它们上传开 FTP 服务器。

数据流：用作 tasklist 命令得到亦然在接入的数据流。

系统原始数据：监督“systeminfo”命令以得到系统原始数据。

命令监督：不具备 Invoke-Expression、cmd 和 PowerShell 选项的远程命令监督也就是说特性。

清理：删除颇受颇受到感染系统之前留下的所有痕迹，例如Finder和顺利完成档案夹参考资料、档案和数据流。

归因 “CharmPower”上锁与 APT35 现在用作的 Android 情报人员软件之间不具备相似之处，都有构建并不相同的日志纪录特性并用作并不相同的格式和语法。此外，在两个比对之前都可以认出 C2 无线电通信之前的“Stack=Overflow”模板，这是仅在 APT35 工具之前观察到的独特模板。研究人员基于这些代码的相似性和基础设施交叠将活动归结 APT35。

充满创造力的将会：元宇宙将打开新Bug

英国通告！阿塞拜疆舰船亦然在后果水底电线网络必需

通告！与Log4Shell相似的JavaBug出现了

必需后果情报周报

“显露”原始数据泄露，前Uber顾问必需其职被辩称

微软通告：Log4j Bug攻击水平仅仅很高

注：本文由E必需编译报道。

看病人拿什么推荐江中初元
看病人带什么好
看病人买什么
儿科医院
前列腺癌
持续高烧
积食推拿
感冒咳嗽吃什么好