1.疑似针对柬埔寨地区的攻击活动
第二起活动疑似针对柬埔寨地区。投放的恶意文档名称为“2018 Cambodia Outlook Conference.doc”。
2018年柬埔寨展望会议.doc
该恶意文档使用CVE-2017-11882漏洞进行攻击。其最终释放的文件为一个名为DsSvcCleanup.cpl的控制面板文件,并使用rundlle32.exe加载。DsSvcCleanup.cpl则为海莲花曾经使用过的Denis后门变种,运行后会通过DNS隧道与C&C服务器进行通信。
关于第二起攻击的更详细分析将在后续播报中进一步完善。
Denis通讯报文
2.内含报告,老家族新攻击
https://otx.alienvault.com/pulse/5b198cbbc39bf807101c9e61/