在海量信息的面前,我们很容易不知道该从何下手,这时,有见地的和独立的开源智能(OSINT)分析就显得尤为重要,还要鸟瞰新兴的安全威胁,拥有充足的预见性和防御意识。本文来自Dancho Danchev的博客——信息安全知识的心灵流,该博客涵盖了最新的安全趋势和潮流,战术和战略,并与第三方的研究、推测和实时的CYBERINT评估相结合,其中不乏讽刺的审视。
恶意移动端软件被拦截,成千上万的用户受影响
我们最近又拦截了一款恶意软件,此移动端恶意软件影响到Google Play商店,使得用户暴露在大量的恶意软件面前。
在这篇博客中,我们将对此次攻击涉及到的恶意MD5进行分析和描述,揭露其背后的工具和方法,并深入探讨这次事件背后的网络犯罪分子的战术、技术和程序。
已知的和此次攻击事件有关的恶意MD5:
MD5: 1c87344c24d8316c8f408a6f0396aa43
MD5: 390e66ffaccaa557a8d5c43c8f3a20a9
MD5: 8e2f8c52f4bb8a4e7f8393aa4a0536e1
MD5: ada4b19d5348fecffd8e864e506c5a72
一旦被执行,一个恶意软件样本就会从同一C&C服务器端被下载到用户的手机上:
hxxp://telbux.pw – 176.9.138.114
已知的从同一个C&C服务器IP(176.9.138.114)被下载的恶意MD5:
MD5: f8471c153414b65bbeb80880dc30da0a
MD5: 5955411fe84c10fa6af7e40bf40dcdac
MD5: ec3e5125190d76c19ca1c0c9172ac930
MD5: 0551f10503369f12cd975468bff6d16a
MD5: 1127390826a9409f6fd7ad99c4d4af18
一旦被执行,一个恶意软件样本就会被手机发送回以下的C&C服务器地址:
hxxp://144.76.70.213
hxxp://joyappstech.biz – 136.243.240.229
我们会继续更新相关的消息。
5.17日更新:
已知的和此次攻击事件有关的恶意MD5:
MD5: 27ad60e62ff86534c0a9331e9451833d
MD5: 78fbac978d9138651678eb63e7dfd998
和此次攻击事件有关的恶意C&C服务器:
hxxp://apk.longxigame.com – 123.138.67.91; 106.119.191.98
已知的从同一个C&C服务器IP(123.138.67.91)被下载的恶意MD5如下所示:
MD5: a6c9a8cfa41b608573f8a9adf767daa0
MD5: a5d98369590bd2e001ac3e2986b3d7e9
MD5: 8c5e6c7bc945877740f10e91e9640f70
MD5: e82c58593e787193b5e19810b7ab504e
MD5: 814d7d6701f00c7b96c7026b5561911c
已知的响应同一恶意C&C服务器( apk.longxigame.com)的域如下所示:
hxxp://103.243.139.241
hxxp://113.105.245.118
hxxp://183.61.13.192
hxxp://183.61.180.216
hxxp://183.61.180.217
hxxp://106.119.191.98
hxxp://221.233.135.196
hxxp://218.60.119.245
hxxp://218.60.119.30
hxxp://118.123.202.27
hxxp://118.123.202.28
hxxp://218.60.119.244
hxxp://119.84.112.118
hxxp://119.84.112.121
hxxp://220.181.105.232
hxxp://27.221.30.76
hxxp://220.181.105.231
hxxp://27.221.30.77
hxxp://60.2.226.246
hxxp://60.2.226.248
hxxp://121.29.8.235
hxxp://60.28.226.51
hxxp://116.55.241.217
hxxp://124.95.157.252
hxxp://124.160.136.232
hxxp://124.160.136.233
hxxp://218.60.119.243
hxxp://218.60.119.252
hxxp://218.60.119.29
hxxp://122.225.34.233
hxxp://122.225.34.234
hxxp://171.111.154.243
hxxp://124.95.157.253
hxxp://202.100.74.248
hxxp://221.204.186.231
hxxp://221.204.186.232
hxxp://182.140.238.123
hxxp://218.107.196.223
hxxp://218.107.196.224
hxxp://122.227.164.225
hxxp://122.227.164.226
hxxp://122.228.95.171
hxxp://122.228.95.172
hxxp://123.129.244.23
hxxp://123.129.244.24
hxxp://210.22.60.224
hxxp://125.76.247.230
hxxp://125.76.247.231
hxxp://42.81.4.91
hxxp://42.81.4.92
hxxp://117.25.155.17
hxxp://61.154.126.29
hxxp://116.55.241.218
hxxp://106.119.191.97
hxxp://171.111.154.242
hxxp://180.96.17.157
hxxp://180.96.17.160
hxxp://117.25.155.18
hxxp://121.207.229.135
hxxp://61.154.126.28
hxxp://121.207.229.136
hxxp://222.85.26.249
hxxp://222.85.26.250
hxxp://59.46.4.221
hxxp://59.46.4.222
hxxp://183.61.13.191
hxxp://103.243.139.239
hxxp://122.141.227.183
hxxp://114.80.174.98
hxxp://114.80.174.99
hxxp://202.100.74.245
hxxp://58.216.17.111
hxxp://175.6.3.149
hxxp://175.6.3.176
hxxp://61.147.118.229
hxxp://60.28.226.41
hxxp://124.112.127.77
hxxp://124.112.127.78
hxxp://124.238.232.242
hxxp://124.238.232.241
hxxp://112.90.32.242
hxxp://112.90.32.241
hxxp://123.138.67.91
hxxp://123.138.67.92
hxxp://122.141.227.182
hxxp://121.29.8.217
hxxp://42.81.4.83
hxxp://218.107.196.236
hxxp://112.67.242.110
hxxp://112.90.32.232
已知的被手机发送回同一C&C服务器( 123.138.67.91)的恶意MD5如下所示:
MD5: 4efbe7fe86f63530d83ae7af5a3dc272
MD5: d8a3466addf81f2afeb2ca81c49d7361
MD5: 06e37b0c4a77bfa6a1052c4dd50afd9b
MD5: ed89d5977e334045500d0415154976b6
一旦被执行,一个恶意软件样本就会被手机发送回以下的C&C服务器地址:
hxxp://api.baizhu.cc – 120.76.122.200
hxxp://cdn.baizhu.cc – 123.138.67.91
hxxp://yscq.v1game.cn (203.130.58.30)
hxxp://pic.v1.cn (123.138.67.92)
hxxp://img.g.v1.cn (203.130.58.30)
hxxp://static.v1game.cn (203.130.58.30)
hxxp://pay.v1game.cn (211.151.85.249)