黑客业务

       

注意！双平台采矿木马MServicesX借用白签名避免杀毒软件

抓鸡狂魔病毒团伙是一个行使僵尸网络非法流动的地下团伙。远程控制木马通常通过鱼叉邮件和下载站传播(如Darkcomet，Njrat等等)球批量抓肉鸡。控制肉鸡后，网络用户的隐私信息、机密文件或建议DDoS对中毒用户造成严重伤害的攻击。            一.            团伙先容    
   “抓鸡狂魔” 病毒团伙是一个行使僵尸网络举行违法流动的地下团伙。通常通过鱼叉邮件、下载站流传远程控制木马（如Darkcomet，Njrat等等)球批量抓肉鸡。控制肉鸡后，网络用户的隐私信息、机密文件或建议DDoS对中毒用户造成严重伤害的攻击。
   
   抓鸡狂魔团伙最早的流动可以追溯到2017年Darkcomet抓鸡。2018年上半年首次行使Word有针对性的攻击是在破绽文档中进行的。其中，2018年4月是第一个通过交付进行的CVE-2017-11882鱼叉邮件(指针对特定目的，经心伪造的攻击邮件)提出攻击。
   
   Darkcomet木马，又称暗彗星木马，是国外著名的后门木马。木马运行后，不仅可以记录和上传受害者输入的密码、摄像头信息等隐私内容，还可以根据服务端指令执行下载文件、启动程序、操作剧本等控制操作。攻击者还可以使用计算机作为跳板来执行其他攻击目的DDoS攻击。
   
   Darkcomet（暗彗星）木马在中国广泛传播，前三大省份是广东、浙江和河南。抓鸡狂魔团伙的木马控制服务器大多位于美国和法国。通过攻击文字和样本资源信息分析，预测该团伙更有可能位于欧洲和美国。
   
   二.            团伙图谱    
   通过腾讯安图高级威胁追溯系统查询抓鸡狂魔团伙的相关信息。
               目前还没有追溯到该团伙的国籍信息，其大部分服务器位于法国和美国，该团伙位于欧美。
   
   

   通过对“抓鸡狂魔”团伙多条IOC分析发现团伙经常使用ddns.net,hopto.org,duckdns.org和zapto.org等动态域名，部门域名命名有一定的规则，如前缀jeff，如jeffyunq.hopto.org，jeffallen247.hopto.org等等。然后通过IOC交织关联和攻击分析，发现抓鸡狂魔团伙高度可疑，如下图所示。

   

       

   

   
   

   抓鸡狂魔团伙经常使用钓鱼技术，如鱼叉邮件、伪装正常程序、玉人图标程序等，并行使公开缺陷提高攻击成功率，今年4月通过交付cve-2017-1188,cve-2017-8759定向攻击破绽文档。
   
   腾讯宇建情报中心长期跟踪抓鸡狂魔团伙。今年4月，该团伙通过鱼叉邮件大量传播后门木马，非常活跃，随后热度下降。最近，从9月份开始，抓鸡狂魔团伙的流动热度又上升了。
                   (抓鸡狂魔团伙流动态势)            
   通过分析发现，在抓鸡狂魔团伙中使用的 Darkcomet远程控制木马异常活跃。Darkcomet木马诞生于2008年，又称“暗黑彗星”木马，是外洋着名的后门类木马。木马运行后不仅纪录并上传受害者输入的密码、摄像头信息等隐私内容，还可凭据服务端指令执行下载文件、启动程序、运行剧本等控制操作，攻击者还可用被控制的电脑作跳板，对其它目的提议DDoS攻击。
   
   2012年，木马作者停止更新暗黑彗星木马，最新版本停留在5.4.1，然而，仍有大量的攻击者使用该工具进行网络攻击。
               

   通过腾讯平安御见情报中心的分析，获得了Darkcomet(暗黑彗星木马)海内熏染情况漫衍，熏染率最高的是广东、浙江、河南，分别是21.8%，13.85%和8.55%。

   

   
   

               三.            关于Darkcomet木马远程控制暗黑彗星    
   Darkcomet黑暗彗星木马是一种古老的远程控制木马，通常通过鱼叉邮件传播，作为攻击RAT(远程控制治理简称)，功效非常强大。就像其他远程控制木马一样，Darkcomet有自己的传输协议，数据收发时城市会加解密，保证通信顺畅。
                       
   

   腾讯平安御见情报中心动态行为如下：

               四.            平安建议    
   

   1.    腾讯使用腾讯计算机管家更新系统补丁，防止缺陷攻击，不要打开来历不明的邮件附件；    

Darkcomet木马变成了抓鸡狂魔 腾讯电脑管家准确查杀

   

   2.    通过正规渠道下载软件；    

   

   3.    保持打开杀毒软件。    

   

   
   

   五.            威胁情报（部门IOC如下）    
   
   IP：    
   

   197.211.61.46    

   

   
   

   Domain:            
   pinols999.hopto.org            
       jeffyunq.hopto.org    
       jeffallen247.hopto.org    
       jeffhaz305.hopto.org    
       niogem117.ddns.net    
       fuhrer.homepc.it    
   

   amentocashouts.hopto.org    

   

   
   

   MD5:    
   593602cdbd3ad923e32a00d36c33a58c    
       4d7fb5d2e4949fd1bccb6d978cfad13d    
       6269136faae122cfc41d6ab27285d038    
       08e91e485074bf4425b7c31b3ec079b3    
       0ef73c6018b794d135af0604f56f50a9    
       ab4f5f1f37650f856d894285f7b6c77b    
       184ae65cae6fbbcec9e42ab10a415287    
       b319a6aba664394b55884419162119f3    
       a8efae45288f2dcbf84e6eb5c989322d    
       027c135d7a3220dd87abe44f9619010f    
   

流氓软件Playbox一式两份安装目录 故意欺负非一线城市网民