黑客组织攻击活动，如下所示：

1.样本为图标PDF的LNK恶意文件，名字伪装成花旗银行的对帐单，如下所示：

2.LNK恶意文件调用CMD程序生成执行BAT脚本，并创建计划任务，如下所示：

3.创建的计划任务，如下所示：

4.解码生成的BAT脚本，从远程服务器上下载生成恶意JS脚本，并删除之前创建的计划任务，如下所示：

5.下载的恶意JS脚本会拷贝自身到ProgramData目录,并命名为agent.js，再从网上下载恶意PowerShell脚本，如下所示：

6.agent3.ps1脚本通过shellcode代码在内存中加载执行从远程服务器上下载回来的EXE程序，如下所示：

7.该EXE程序主体代码，如下所示：

8.读取资源数据到内存中，删除多余的00数据，如下所示：

9.解密资源数据，如下所示：

10.解密出来的资源数据是一个PE文件，如下所示：

11.在内存中加载执行该PE文件，如下所示：

12.通过GetUserDefaultLangID获取操作系统语言，如果为特定语言的操作系统，则退出，如下所示：

13.创建计划任务，伪装成Firefox的更新任务，如下所示：

执行之前生成的agent.js恶意脚本，如下所示：

14.加密生成相应的数据，并向远程服务器发送相应的POST数据，如下所示：

15.远程服务器URL为http://45.90.58.1/config.php,发送的POST数据格式内容，如下所示：

16.获取主机相关信息，然后进行加密操作，拼接字符串，向远程服务器发送POST数据请求，如下所示：

17.从远程服务器下载执行恶意PowerShell脚本，如下所示：

18.调用CMD命令，执行PowerShell脚本，如下所示：

19.恶意PowerShell脚本sd2.ps1，从网上下载相应的配置信息，如下所示：

20.配置信息，如下所示：

21.异或解密出恶意PowerShell脚本数据，然后调用执行，传到配置信息参数，如下所示：

22.解密出来的数据为NET编写的恶意软件，如下所示：

23.NET恶意软件解密出KOI恶意模块，并调用执行，如下所示：

24.KOI恶意模块是窃密恶意软件，窃取主机文件、通讯应用、浏览器、虚拟数字货币钱包数据，然后加密发送到远程服务器，如下所示：

25.恶意PowerShell脚本sd4.ps1与上面sd2.ps1基本一致，解密出来的KOI模块也是窃密恶意软件，如下所示：

26.向远程服务器发送POST数据请求，然后返回相应的指令，如下所示：

27.通过服务器返回不同的指令执行不同的操作，如下所示：

查看nrgtik.mx域名，已经标记为失陷主机了，如下所示：

同时可以关联到多个JS恶意脚本，如下所示：

通过分析这些脚本基本类似，只是里面的互斥变量不同，这次攻击活动应该还在持续攻击当中。

查看IP地址45.90.58.1，也已经标记为恶意软件，如下所示：

通过上面的分析以及情报关联，可以推断出这可能是某个黑客组织利用AZORult窃密木马针对花旗银行客户进行的一次窃密攻击活动。