海莲花组织新一轮攻击,疑似针对柬埔寨/白象组织数据分享

发表于 讨论求助 2023-05-10 14:56:27

1.疑似针对柬埔寨地区的攻击活动

第二起活动疑似针对柬埔寨地区。投放的恶意文档名称为“2018 Cambodia Outlook Conference.doc”。

2018年柬埔寨展望会议.doc

该恶意文档使用CVE-2017-11882漏洞进行攻击。其最终释放的文件为一个名为DsSvcCleanup.cpl的控制面板文件,并使用rundlle32.exe加载。DsSvcCleanup.cpl则为海莲花曾经使用过的Denis后门变种,运行后会通过DNS隧道与C&C服务器进行通信。

关于第二起攻击的更详细分析将在后续播报中进一步完善。

Denis通讯报文

2.内含报告,老家族新攻击

https://otx.alienvault.com/pulse/5b198cbbc39bf807101c9e61/

发表
26906人 签到看排名