↑👆↑👆点关注呗↑👆↑👆点关注呗↑👆↑👆

     前些日子，jpcert报道了恶意软件plead分析，报告都指向APT组织blacktech，一个长期活跃在亚洲地区的组织。该次事件披露了该组织正在攻击日本的事实，并对plead最新数据通讯手法进行了阐述，详细可点击框框处。

而ESET在今日，发布了一篇报告，文中称plead系列均采用了D-Link的合法证书。如下图所示

目前，该证书在2018年7月3日被D-Link撤销，具体公告如下

除了D-Link证书外，还有一家台湾的安全公司证书也被滥用，公司名为全景软件。

如下图Changing Information Technology Inc.

    尽管Changing Information Technology Inc.证书于2017年7月4日被撤销，但

BlackTech集团仍在使用它来签署他们的恶意工具。

    这也充分说明了该APT组织的技术手段高超，连这些大企业的数字签名证书都能黑过来。

    已签名的Plead下载器均会去下一段加密shellcode，最后解密后会再去下载最终的Plead后门模块，具体后门接收的命令后所执行的行为如下

同时，信息窃取模块会主要去窃取以下浏览器所存储的密码信息

• Google Chrome

• Microsoft Internet Explorer

• Microsoft Outlook

• Mozilla Firefox

IOC信息 

代码签名证书序列号