Mustang Panda APT IOCs - Part 2

security IOC
Опубликовано

Avast обнаружил точку распространения, где размещается набор инструментов вредоносного ПО, но также служит временным хранилищем для гигабайтов данных, которые утекают ежедневно, включая документы, записи и дампы веб-почты, включая сканы паспортов азиатских, американских и европейских граждан и дипломатов, обращающихся за бирманскими визами, бирманских правозащитников и бирманских правительственных учреждений.

Mustang Panda APT

Недавно Avast наткнулись на необычный образец - стейджер, который, как Avast полагает, используется Mustang Panda. Он привел в точку распространения группы, где были обнаружуны вредоносные наборы инструментов. Avast проанализировали вредоносное ПО и смогли увидеть связь между различными кампаниями, которые были описаны другими фирмами по кибербезопасности в течение последних лет. Основываясь на публично опубликованных исследованиях и наших собственных расследованиях, можно с большой уверенностью сказать, что способ действия и набор вредоносных инструментов показывают тесную связь с группой, связанной с Mustang Panda, о которой ранее сообщалось как о китайской APT-группе. Эта группа известна тем, что собирала разведывательную информацию о Монголии и других азиатских странах, а в последнее время подозревалась в атаках на европейские организации.

Точка распространения, FTP-сервер, также используется в качестве переходного пункта для эксфильтрованных данных жертвы, прежде чем они будут перемещены в неизвестное место. Avast продолжает наблюдать, как новые данные загружаются и перемещаются из этого пункта, что означает, что кампания все еще активна и продолжается уже некоторое время. Перемещаются гигабайты данных, и их объем указывает на серьезную компрометацию многих высокопоставленных целей в Мьянме. Типы данных включают различные офисные документы и PDF-файлы, украденные профили браузеров, дампы веб-почты и даже звукозаписи. Также были извлечены профили браузеров, которые могут предоставить доступ к другим инфраструктурам, сервисам и частным данным жертв. Большинство похищенных данных, похоже, на бирманском языке, что затрудняет их анализ. Конфиденциальные данные в основном собираются с устройств, используемых правительством Мьянмы, государственной администрацией, полицией, армией, крупными общественными организациями или компаниями, и включают в себя данные, связанные с дипломатическими встречами, судебными слушаниями, военной информацией, контрактами и т.д.

Виктимология

Почти все жертвы имеют тесные связи с Мьянмой, и, судя по всему, мишенью становятся как бирманское правительство, так и оппозиционные группы. Avast видели данные, поступающие из различных департаментов нескольких бирманских министерств. Даже офис Государственного административного совета стал объектом атаки. Взлом правительственных данных не ограничивается Мьянмой - Avast также видели, что среди целей были посольства Мьянмы, например, посольство в Сербии. Данные также содержали дампы почтового ящика, который использовался для переписки в 2016 и 2017 годах, а также в 2020 году с заявителями на визу со всего мира. Эти сообщения содержали сканы паспортов граждан и дипломатов из разных стран, таких как Китай, Австралия, Чешская Республика, Франция, Израиль, Нидерланды, Великобритания и США.

После такого обширного списка целей не стоит удивляться, что полиция Мьянмы также оказалась в числе целей. Даже некоторые высокопоставленные подразделения, такие как Офис начальника информационной полиции или Департамент специальных расследований, похоже, подверглись взлому. Татмадау (вооруженные силы Мьянмы) также не являются исключением - Avast видели жертв из Бюро противовоздушной обороны, Инженерной армии Мьянмы и Объединенной государственной армии Ва.

Политические НПО и правительственная оппозиция также находятся в списке жертв. Вполне возможно, что список еще более обширен, так как Avast не сможем найти прямую связь с указанными организациями, поскольку Avast ожидаем более распространенного использования персональных компьютеров или компьютеров, которые не обслуживаются централизованно ИТ-отделом. Avast видели данные с устройств, принадлежащих Каренскому национальному союзу, Центру разнообразия и национальной гармонии, Центру национального примирения и мира, Центру по делам этнических национальностей и даже Союзному совету по гражданской службе.

Эксфильтрованные данные

Наиболее распространенными типами файлов, эксфильтрируемых группой, являются документы Microsoft Office (.docx, .xlsx, .pptx и т.д.), документы PDF и обычные текстовые файлы. Другие типы файлов включают аудиовизуальные данные в различных формах, включая звукозаписи (.mp3), фотографии (.jpg, .png и т.д.) или рисунки. Электронные письма, включая целые разговоры, также подвергаются эксфильтрации.

Похоже, что злоумышленники также ищут и собирают данные из профилей браузеров различных веб-обозревателей, например, Chrome, Firefox, Opera и других, что представляет серьезную угрозу для частной жизни жертв. Похищенные профили браузеров могут обеспечить доступ к другим инфраструктурам, сервисам и частным данным жертв. Злоумышленники извлекают информацию об истории просмотров, сохраненных учетных данных (личных и рабочих), кредитных картах, использованных токенах и действительных сессиях cookie. Следовательно, плохо защищенные сервисы, такие как сервисы без двухфакторной аутентификации или без безопасной политики cookie, могут быть легко использованы злоумышленниками. Злоумышленники могут украсть личные данные жертв и использовать их электронную почту, Facebook, Telegram или другие аккаунты для сбора дополнительной информации о жертве, ее семье, друзьях и деятельности.

С компьютеров жертв собираются особо важные данные, причем в большинстве случаев это компьютеры, используемые правительством Мьянмы, государственной администрацией, полицией, армией, значимыми общественными организациями или компаниями. В некоторых случаях это были конфиденциальные данные и информация, принадлежащие международным гражданам и дипломатам, которые взаимодействовали с целевыми ведомствами.

Документы и аудиовизуальные данные, передаваемые группой, имеют огромный объем. Файлы включают в себя все, от:

  • дампы электронной почты, включая визовые заявления и сканы паспортов граждан и дипломатов из разных стран, таких как Китай, Австралия, Чешская Республика, Франция, Израиль, Нидерланды, Великобритания и США.
  • План рассадки на встрече бывшего посла США в ООН Билла Ричардсона с лидером Мьянмы, старшим генералом Мин Аунг Хлаингом
  • Конституция Мьянмы с предлагаемыми изменениями
  • Приглашения на дипломатические встречи, программы встреч, звонки и тезисы выступлений
  • Отчеты, карты и скриншоты из приложения для обмена сообщениями Signal, связанные с UWSA (Объединенной армией государства Ва)
  • Данные из офиса начальника Сил противовоздушной обороны Мьянмы, включая протоколы заседаний, полные списки сотрудников/рангов, фото удостоверений личности (некоторые с отпечатками пальцев), зарплаты, личные данные семей сотрудников
  • Документы мирного договора
  • Протоколы допросов
  • Контракты
  • Судебные слушания
  • Планы городов
  • Контактная информация сотрудников полиции, включая их имена, адреса, номера телефонов и зарплаты
  • Стенограммы встреч по вопросам политики и выборов
  • Протоколы заседаний и аудиозаписи встреч между высшими должностными лицами Мьянмы (премьер-министр, председатель Государственного административного совета) и президентом Татарстана
  • Чертежи военных зданий, включая хранилища боеприпасов, нефтехранилища и аэрофотоснимки предполагаемых объектов
  • Международные банковские документы и записи и переводах от сторонников группе беженцев

Связи с известными кампаниями

С тех пор как Avast получили в свои руки точку распространения, установили связи между известными кампаниями, о которых уже сообщалось публично, и тем, что обнаружили. Это дает нам подсказки о том, насколько изобретательной может быть группа, а также поможет оценить ее modus operandi.

Avast обнаружили файлы, сильно напоминающие (или даже совпадающие) образцы и их связи, описанные в блоге компании ESET вокруг варианта Korplug, получившего название Hodur. Описанная ими кампания была нацелена на различные правительственные организации в Монголии, Вьетнаме и Мьянме, а также политически ориентированные НПО. Это согласуется с виктимологией похищенных данных, которые Avast видели на точке распространения. Ходур был приписан к группе Mustang Panda. Связанная часть обнаруженного набора инструментов, которую Avast проанализировали, также содержала USB-установщик, написанный на Delphi, аналогичный тому, который сопровождал вариант Korplug от Hodur, проанализированный ESET. Эта программа установки отвечает за запуск цепочки заражения, ведущей к варианту Korplug RAT.

Аналогичным образом, Avast обнаружили сходство с операциями, приписываемыми LuminousMoth, как по структуре, так и по назначению. Например, увидели структуру, очень похожую на ту, что описана в исследовании Bitdefender о группе LuminousMoth. А именно, использование тех же двоичных файлов для боковой загрузки, та же схема эксфильтрации - использование RAR для сбора и боковой загрузки библиотеки для эксфильтрации через Google Drive. Возможно, самым распространенным шаблоном было использование USB-пусковой установки, написанной на Delphi, которую приписывали Mustang Panda, что также было описано в исследовании Bitdefender.

В некоторых случаях Avast видели ненадежные ссылки на старые кампании, такие как Operation NightScout, довольно старая атака на цепочку поставок KMPlayer, или Operation Harvest. В частности, двоичные файлы, используемые для боковой загрузки, или названия зашифрованных полезных нагрузок совпадали с теми, что использовались в этих старых кампаниях. Тем не менее, конкретные полезные нагрузки значительно отличаются, поэтому, хотя некоторые из них были приписаны Mustang Panda, сходство может быть и случайным.

Обзор набора инструментов

Обнаруженное Avast хранилище содержит множество архивов с различными инструментами для загрузки зараженными жертвами. Будет использовать названия этих архивов, чтобы наложить базовую структуру на найденные нами данные. Стоит отметить, что эти имена частично совпадают в последующих версиях. Например, мы обнаружили архив KKL, который впоследствии сопровождался другой версией с несколько иной конфигурацией под названием KKL1.

Некоторые архивы содержали полные наборы инструментов, в то время как в других были только одноцелевые инструменты, предназначенные для использования в сочетании с другими инструментами; например, один из архивов содержал кейлоггер, который явно не обладал функциональностью эксфильтрации. Это убедительно свидетельствует о том, что инструменты предназначены для модульного использования. Avast будет развивать эту тему и сначала поговорим об обычной теме Mustang Panda - Korplug. Затем перейдем к более специфическим инструментам и закончим инструментами одного назначения. Примечательно, что почти все инструменты, кроме Korplug, его загрузчиков и инсталляторов Delphi, ранее не описывались. RAT, написанный на Go (JSX), или модульный бэкдор (US_2) заслуживают отдельного упоминания из-за своей сложности.

Исходя из полученных данных, Avast предполагает, что основными инструментами эксфильтрации являются варианты инструментов, содержащихся в архивах с именем GDU, которые используют Google Drive для эксфильтрации. Поскольку Avast не видели ни одного инструмента эксфильтрации, который бы использовал точку распространения напрямую, а путь на сервере эксфильтрованных файлов содержит gd, Avast предполагает, что ответственная группа использует какие-то другие инструменты для перемещения файлов с различных Google Drive в точку распространения, которую Avast видели.

Беглый взгляд на наборы инструментов приводит к еще одному интересному факту: почти все файлы показывают приблизительно (в некоторых случаях в течение нескольких секунд) семи-восьмичасовое смещение между временной меткой компиляции и временной меткой "последнего изменения" самого файла. Поскольку временная метка компиляции обычно находится в UTC, а архивы используют местное время для даты последней модификации содержимого, это помещает нас в UTC-8 и UTC-7. Поэтому Avast предполагает, что установка сборки работала во времени, напоминающем Pacific Standard Time (PST) и Pacific Daylight Time (PDT), используемые на западном побережье США. Есть несколько оговорок - SE3 и SE4 содержат файлы, которые были скомпилированы 1 ноября 2021 года и по-прежнему имеют восьмичасовое смещение, хотя ни одна из стран, использующих PST/PDT, не переходит на PST так рано (США и Канада переходят на PST несколькими днями позже).

Также есть файл с явно подделанной временной меткой компиляции. HT3 содержит DLL Vender.dll, чья временная метка компиляции датируется более чем месяцем позже даты последней модификации. Это еще больше ослабляет гипотезы, основанные на смещении временных меток. К сожалению, у нас нет других зацепок, объясняющих этот выброс. Последняя версия загрузчика (multiUpload.exe), использование которого было замечено в начале июня, имеет временную метку компиляции 3 января 2020 года. С большой вероятностью это также подделка, поскольку анализ предыдущих версий этого инструмента показывает явную эволюцию, и, согласно соответствующим временным меткам, все они были скомпилированы в апреле 2021 года. Не говоря уже о том, что соответствующая инфраструктура была создана только в конце мая 2022 года.

Папка /pub/god, содержавшая архивы набора инструментов, была удалена 25 июня 2022 года. В тот же день была создана новая папка /pub/god1 с двумя файлами, к которым у нас не было доступа на чтение. Через два дня новая папка исчезла, а папка /pub/god снова появилась с подмножеством исходных инструментов.

Вариации на тему Korplug

Первая группа инструментов - это различные версии Korplug. Двоичные файлы, используемые для боковой загрузки, уже встречались ранее. Несмотря на то, что загрузчики были в основном новыми, они были довольно неинтересными. Общей темой был двоичный файл Delphi, который служил загрузчиком для выполнения с зараженного USB-накопителя. Как уже упоминалось, подобный инсталлятор ранее был замечен в кампаниях, приписываемых Mustang Panda. Он просто запускает загрузчик Korplug из папки с именем "Kaspersky", которая находится на том же USB-накопителе. Более подробно см. схему ниже (основанную на наборе инструментов из архива под названием BMD).

Обратите внимание на использование имени папки "Kaspersky" и "Symantec" в названиях исполняемых файлов; поскольку программа запуска полагается на уловки социальной инженерии, она полагается на общую стратегию использования кажущихся легитимными имен файлов, чтобы развеять любые сомнения относительно содержимого.
Содержимое архива под названием BMD. Архив YK41 имеет ту же структуру, при этом файл ShellselDb.dat заменен на hp_ui.xslbcdsj и отсутствует программа запуска Delphi.

Были и более простые цепочки заражения, содержащие только подписанный чистый бинарник, загрузчик для боковой загрузки и зашифрованный Korplug. Они содержались в архивах WD, 127C и 1260M. Последний, что интересно, использовал двоичный файл OleView.exe, который затем загружал ACLUI.dll, которая расшифровывала и выполняла ACLUI.DLL.UI. Этот же подписанный двоичный файл, который, что удивительно, также имеет то же имя зашифрованной полезной нагрузки, был использован в атаке на цепочку поставок KMPlayer в 2013 году. Сопровождающее исследование было опубликовано только на китайском языке, вероятно, из-за того, что атака была ограничена несколькими устройствами.

Набор инструментов эксфильтрации

Эксфильтрованные данные на сервере в папке /pub/gd показали идеальную корреляцию с данными, полученными инструментами GDU (GDU_OLD, GDU, GDU1, GDU2, GDU1_NEW, GDU3, GDUPIZ). Эти инструменты собирают файлы на диске жертвы, упаковывают их в архив, к имени которого добавляется идентификатор жертвы, и загружают этот архив на Google Drive. Avast предполагает, что название GDU является сокращением от Google Drive Uploader. Хотя сами инструменты технически довольно просты, процесс эксфильтрации и его эволюция вызвали наш интерес.

Анализ процесса эксфильтрации позволил сделать несколько интересных наблюдений. Через несколько дней после 24 мая 2022 года - дня, когда Avast начали систематически отслеживать Google Drives, использовавшиеся для эксфильтрации, - стали чаще менять токены и внедрять новые функции. Эти функции смягчали возможные простои, вызванные переходом на новый токен. Поскольку Google Drive обладает широкими возможностями ведения журнала, а токены должны присутствовать на зараженных устройствах, вполне оправданно ожидать, что доступ к этим дискам в какой-то степени контролируется.

Напротив, Avast не наблюдали такого поведения с точкой распространения. Это может быть связано с тем, что точка распространения никогда не раскрывается инструментами, что приводит нас к выводу, что группа считает точку распространения секретной или не заслуживающей мониторинга.

Обзор версий

Самая старая версия GDU использует исполняемый файл RAR для сбора данных и зашифрованный файл rar.dat для хранения параметров бинарного файла RAR. Начиная с GDU_OLD, они перешли на собственный коллектор piz.exe (позже эта функциональность была перенесена в DLL для боковой загрузки) и сохранили зашифрованный rar.dat, в котором хранилась их конфигурация. Эти наборы инструментов также полагаются на два дополнительных конфигурационных файла, которые поддерживаются жестко закодированными значениями: token.dat, содержащий зашифрованный токен для Google Drive, и time.ini, содержащий дату последнего выполнения вместе с ID жертвы. Настройка и выбор двоичных файлов для боковой загрузки имеют сходство с кампаниями и инструментарием LuminousMoth.
Архив GDU, содержащий версию, полагающуюся на RAR вместо piz.exe для сбора данных.

За процесс эксфильтрации обычно отвечает вариант MyUpload.dll, дополненный вышеупомянутыми конфигурационными файлами. Совсем недавно на точке распространения появилась новая версия GDU1 (которую будем называть GDU1_NEW), которая поставляется с ее преемником multiUpload.exe. multiupload.exe отказывается от жестко закодированных токенов и делает процесс эксфильтрации более устойчивым к сбоям.
Архив GDU_OLD, который использует собственный коллектор piz.exe для сбора потенциально интересных файлов перед эксфильтрацией.

Версия, которую Avast называет GDU_OLD, в основном такая же, как GDU1 и GDUPIZ, наиболее существенным отличием является использование другого PE для боковой загрузки. GDU1 и GDUPIZ используют CefSub.exe, а затем CefBrowser.dll вместо AtlTracetool.exe. GDUPIZ также использует несколько иной подход для выполнения инструмента сбора файлов piz.exe - версия, включенная в эту папку, на самом деле является переименованным чистым бинарным файлом spoololk.exe, который, в свою очередь, выполняет побочную загрузку vntfxf32.dll. Этот вредоносный двоичный файл реализует функциональность сбора файлов, ранее содержавшуюся в piz.exe. GDU2 - это практически то же самое, что и GDUPIZ.

8 июня 2022 года Avast увидели новый набор инструментов GDU1 на точке распространения. На этот раз MyUpload.dll был модернизирован для обеспечения избыточности в процессе эксфильтрации. Она больше не использует файл token.dat, а использует репозиторий Github в качестве источника токена. Если это не удается, есть две резервные копии - одна использует HTTP PUT на www.watercaltropinfo[.]com с базовой HTTP авторизацией (123:123). Другая отправляет данные через HTTPS POST на m.watercaltropinfo[.]com. Коллектор такой же, как и в GDUPIZ. GDU3 использует практически тот же процесс, но использует другой PE для боковой загрузки (FwcMgmt.exe).

Токены

Отдельная глава посвящена токенам аккаунтов Google, которые используются в этих инструментах, отчасти потому, что наше исследование могло заставить группу обновить токены, как только они обнаружили, что Avast знает об их Google Drives. Тот факт, что после каждого списания токена каждый клиент должен был обновить токен, а наборы инструментов GDU не имеют функции удаленного обновления, говорит о том, что эти наборы инструментов должны сопровождаться другими инструментами, которые обеспечивают эту функцию обновления. Avast заметили большую задержку между выводом токена из эксплуатации с 29 мая 2022 года и до распространения токена-заменителя. Его распространение совпало со временем выпуска новой версии GDU1_NEW. Именно эта версия внесла новые функциональные возможности в инструмент эксфильтрации, а именно более плавную замену токенов и сбой в случаях, когда эксфильтрация Google Drive не удалась. Поэтому Avast предполагает, что задержка была вызвана разработкой этой новой функциональности.

Временной анализ эксфильтрованных данных

Также можем взглянуть на метаданные эксфильтрованных архивов. Что неудивительно, так это время загрузки, которое точно совпадает с рабочим временем в Бирме - небольшой пик утром и огромный пик во второй половине дня. Обратите внимание, что Мьянма находится в часовом поясе UTC+6:30, а Китай, предполагаемая страна происхождения Mustang Panda, находится в UTC+8.

Более интересными являются события, производимые самой группой - перенос файлов с Google Drive на точку распространения и удаление файлов с точки распространения. Огромный пик приходится на время около 18:00 по времени ММ, что совпадает с окончанием рабочего дня в Мьянме. Разброс начала окон загрузки незначителен, что позволяет предположить, что передача осуществляется автоматически. Avast видели несколько архивов, помещенных в неправильные каталоги, что может свидетельствовать о том, что инструментарий все еще находится в стадии разработки, или все еще существует некоторая ручная работа... Обычно файлы накапливались в течение дня на Google Диске и передавались в точку распространения вечером по времени ММ.

Как уже упоминалось во введении о незакрытых инструментах, обнаружили довольно много файлов, которым чего-то "не хватало". Под этим Avast подразумевает, что сами по себе они либо не обладали коммуникационной функциональностью, либо реализовывали некоторые техники, которые были бесполезны без сопровождения другой полезной нагрузки. Интересно, что хотя эти файлы также использовали побочную загрузку, они не полагались на внешние зашифрованные файлы, что делало их поток выполнения простым с двухточечными графами.

Есть также несколько самостоятельных файлов, таких как x.ex в архиве X, в котором собраны журналы записей реестра (Run), служб и запланированных задач, а также проверка всех сигнатур исполняемых файлов в %WINDIR%. Архив NB содержит nb.dat, который представляет собой просто исполняемый файл утилиты nbstat. В архиве INFO также находился coinminer вместе с его зашифрованным конфигурационным файлом.

Интересной утилитой является DISK2 (и ее вариант DISKM); она отвечает за мониторинг системного диска на предмет каких-либо изменений. Обе они сопровождаются конфигурационным файлом, определяющим, какие файлы представляют интерес и куда их следует скопировать. Он также уведомляет свой C&C-сервер об этих файлах с помощью зашифрованного сообщения по протоколу HTTP. Существует также версия этого инструмента под названием MF20211228, которая не содержит никакого файла конфигурации и никуда не копирует файлы, а просто отправляет сообщения на C&C-сервер.

Странности в коллекции

JSX

Архивы JSX (JSX86 и более новые JSX861 для 32-битной версии и JSX64 и более новые JSX641 для 64-битной версии) заслуживают отдельного упоминания, поскольку они используют довольно необычную настройку; файл JavaScript находится в начале цепочки, и вместо боковой загрузки соответствующая DLL запускается как служба. mozload.dll - это RAT, написанный на Go, который использует HTTPS и сокеты для связи. Интересно, что RAT использует аутентификацию клиента TLS; закрытый ключ и сертификат см. в приложениях A.1 и A.2.

HT3

HT3 просто не попадает ни в одну из предыдущих категорий - это бэкдор с внешней конфигурацией, сопровождаемый загрузчиком шеллкода и обходом UAC.
Поток выполнения HT3. Обратите внимание, что он содержит как 32-битную, так и 64-битную версии инструмента обхода UAC.

SE

Эти архивы включают несколько версий с очень похожей структурой и иногда с различной полезной нагрузкой. Функциональные изменения представлены ниже; обратите внимание, что они не включают изменения в боковой загрузке, которые будут обсуждаться позже. Все версии содержат несколько трюков уклонения, использующих хитрости реестра для скрытия файлов и расширений файлов.
SE3 и, следовательно, SE4 и SSE (которые в основном одинаковы) используют vivaldi.exe и vivaldi_elf.dll для своего модуля уклонения. Кроме того, FacialFeatureDemo.exe и facesdk.dll заменены на Symantecs.exe и LDVPOCX.OCX; последний интегрирует персистентность в себя вместо того, чтобы иметь ее в отдельном модуле. Интересно, что USB-установщик был заменен на аналогичный в архиве BMK; Delphi launcher, выполняющий Symantec.cmd, который на самом деле является Symantecs.exe. Эти версии также являются единственными, в которых переименованы 3 из 4 пакетов полезной нагрузки (использование csdkset.dat для бэкдора, EdrEpmpCStorages.dat для USB-установщика и PchEpmpCStorages.dat с WTSAPI32.dll). Смущает то, что WTSAPI32.dll, похоже, нигде не используется и будет использоваться для побочной загрузки в более поздних версиях, когда замена USB-установщика будет откатана.

SE6 и SE7 используют старый прокси-исполняемый файл Avast wsc_proxy.exe для боковой загрузки wsc.dll, которая служит диспетчером. Помимо этого изменения, других существенных изменений в функциональности нет.

U5_2

Последний сложный набор инструментов, находится в архиве U5_2. Большая часть функционального кода зашифрована и упакована в AtiVir.csc. За исключением цепочки к наблюдателю съемного диска, все части имеют схожие XOR-ключи: user_panda_%section_name%; довольно интересный выбор, если набор инструментов действительно принадлежит Mustang Panda.

Интересной частью набора инструментов является файл install_.exe, который читает файл по заданному пути, берет серийный номер тома, где находится файл, вычисляет MD5 хэш от серийного номера и изменяет первые байты файла на вычисленное хэш-значение в шестнадцатеричном кодировании.

Инфраструктура сервера

Точкой распространения является FTP-сервер, расположенный в Малайзии, который доступен без пароля (имя пользователя anonymous, пароль пустой). В конце 2020 годакогда Avast столкнулись с другим FTP-сервером, содержащим архивы, очень похожие на те, которые содержат эксфильтрованные данные. К сожалению, у Avast не было достаточно информации, чтобы обработать содержащиеся на нем архивы. Avast предполагает, что эти два FTP-сервера были тесно связаны или что даже нынешний FTP-сервер может быть преемником того, который Avast нашли ранее.

Avast заметили, что FTP-сервер перестал отвечать в октябре. К счастью, сам сервер был еще жив, а дистрибутив перешел на использование HTTP вместо FTP. Они также начали использовать HTTP авторизацию; тем не менее, они повторно использовали слабую комбинацию имя пользователя:пароль (123:123). Это привело к простою на несколько дней в нашем отслеживании, но с помощью быстрого исправления нам удалось вернуться к работе. Предположительно, это могла быть еще одна попытка сорвать наши попытки отслеживания.

Данные телеметрии также выявили еще один сервер в России. Клиент из Мьянмы попытался загрузить с него архив XYZ по протоколу HTTP. При дальнейшей проверке было обнаружено, что архив идентичен XYZ с вышеупомянутого FTP-сервера.

Тот факт, что пострадавший клиент из Мьянмы, а также тот факт, что сервер содержит некоторые части описанного набора инструментов, сильно указывает на то, что он является частью одной и той же кампании. Тем не менее, поскольку по крайней мере один архив был переименован, Avast не смогли полностью перечислить его содержимое. Аналогичным образом, Avast не смогли проверить, содержит ли сервер эксфильтрованные данные.

Indicators of Compromise

IPv4

  • 103.117.141.202
  • 103.169.90.132
  • 103.91.66.116
  • 111.90.148.95
  • 118.31.166.5
  • 134.122.129.170
  • 154.204.176.249
  • 172.104.92.7
  • 172.105.118.92
  • 172.105.158.102
  • 172.105.159.130
  • 181.215.246.173
  • 188.127.249.169
  • 192.46.213.63
  • 193.42.36.214
  • 194.195.240.87
  • 23.106.122.81
  • 23.92.26.127
  • 39.104.52.188
  • 45.121.147.172
  • 45.134.83.4
  • 45.33.34.11
  • 45.56.90.127
  • 45.79.102.41
  • 45.79.409.10
  • 47.242.171.26
  • 47.242.6.26
  • 47.242.95.126
  • 47.244.2.17
  • 47.56.65.198
  • 47.57.108.231
  • 47.57.110.128
  • 47.57.87.221
  • 47.75.123.100
  • 47.75.183.119
  • 47.96.236.105
  • 8.210.128.37
  • 8.210.16.197
  • 91.245.253.72

Domains

  • mod.mmgpms.com
  • txt.mm-film.com

URLs

  • https://github.com/YanNaingOo0072022/View2015

SHA256

  • 00bfbbe6e9d0c54312de906be79cc1e9f18b2957856a1215eaff1ac7bb20e66f
  • 01cd1530b0db54c834ef275e0cc617645a23e1f250bc35c248d546c28da220fb
  • 071558464f6d067f3044b7ee3819fcb3a049b8be3535043db41123c2fde5d451
  • 075f9dfb6ab3379f69165c03991abf1a969ca0c21e04564543564dc536ea95dd
  • 0809e3b71709f1343086eeb6c820543c1a7119e74eef8ac1aee1f81093abec66
  • 091408cdd56267bc4fb4cb54f2d91701aa8cdcede334a648566eea89f1682925
  • 0d243cbcd1c3654ca318d2d6d08f4e9d293fc85a68d751a52c23b04314c67b99
  • 0dcaf08b7b1f8de3999af567144b13f36bea3a68f46f81f8443a81a50a86a09c
  • 10d58013b8a34e10e8548b016154963097dcff15e5673bf24e8ed18513ad4a64
  • 12acd296a009d9e8fbd9511d3c0586f331d450b9c12f651e0554764e50cfb7e7
  • 12b15f31f295416417f1e028904a4e10a0c8ec39dd00bac7df4887c194f2865b
  • 13cf1c57f1c143c592173b1e91ddb652d5dd1c2015289ac890a37253058b54be
  • 1769c7778cbcd937ae317f4982f404b0d7ae7ee5e2b2af4efb160c5233a8f476
  • 180a2f3eb004f93590e4fb18cdc3dd6e18815587637ac354ca99f7513aa63633
  • 197d0ad8e3f6591e4493daaee9e52e53ecf192e32f9d167c67f2ffb408c76f2c
  • 1a4e92e09957578cc8d8c1fbdaba55e306e7bcbc6208ee00e33bb37e849156f9
  • 1d68f4afd0fd908d35db6d9710ab2fc92fb5ca739d6351e1bf513e068fbd00a0
  • 1ded7b4cab302bc7229c92723056d07d5bd9563e88fe082da0a396942fba5958
  • 21bf4631775b6c17f9e94c0901ffbb7718a0e6094582bcb1683b934aca24e18f
  • 2895fdac192a4b0ffd70b6b207d49cd7c8f68945eb5c09e3d51e2fded6c6c32f
  • 28aadf5b14ba0cb38a33ab53796dba12e7d59479744f0cca225b10be44730b9c
  • 28bed0d5bcfb2d5597af881a2be3098327f2d83f14948c6a46cde3cd0776eb1c
  • 2a971ba79f9f7378e11a47dcafa78e9fe4b1f0c659f7f310209d3e6671d5dc31
  • 2c17b68040dda192939e4b7f65b2935cb6c467b8a4b2c3d512bde6cc5a60adaf
  • 2f2a5e5cdb262cd62b43b88bf1e9cfb40a26eac5897616b9eacec4e25d95cbb9
  • 33f631c0b561199b5feb9020faa99e50efa9f421d7484ffa640c5561494726da
  • 375e88d1f38604c901f2b9fd5b9ada4c44c1f4c172f7cd58cd67e9248ff966ab
  • 390d75e6c7fc1cf258145dc712c1fac1eb183efccee1b03c058cec1d790e46b1
  • 3c0d3783a5ccdecf3786db0053b1352d6fb5a37d9081cc32ec6d5bb611064ce3
  • 3fc3fb81a43b9ac155e42367769eb5c0d6dd08c06a025ba93697c6b2667bf1e7
  • 4063cf4ba2d4e12c277479399d4489e45a48b1013d8d54b5a589784fe7158978
  • 45a61f4b7e5798f1389a7d6abc8a924c37db6f51552b4cafc901e7e4a50dabc6
  • 46811fc41623677637aaadcfbe89811d187b390bfd7e4f3e8efd2dd1d078a631
  • 473b4f8b8640a68d1092f6b54b521c6b0ccb1c567eca4a18a2c2da3481bc027a
  • 491d9f6f4e754a430a29ac6842ee12c43615e33b0e720c61e3f06636559813f7
  • 49a81878ec282c3c9d4dd72920d9283e2c86d0bb96b468e010901b3f4f9c75ed
  • 4a6ed717a2d7f0953e4b25c2652c9a231146f60b35d9a5e3cf782c772727b1bc
  • 4afa4582975d31144b3af692f123f87b6400a45475e41fa1822c7acdb17590f0
  • 4f54a6555a7a3bec84e8193d2ff9ae75eb7f06110505e78337fa2f515790a562
  • 50814a35a9d157405252c8ba52c12d1cf5adf137598173c6522cbe058e14b7ff
  • 50bee35c965a99b3f8f722296e4ed6474ca62d96ea5fc4897e7d1563ed173d5e
  • 51c3d115e0173e3ba6eeaea3d53b86bce45367e50feed82d8efed2065d845d28
  • 5427cd51f0120a27ed75d3ac27d6f8eac6f27c54d8658236a52a281d6433496b
  • 55eacabb7c054355d2e8c3a82c075338c9ac642d86ee5d3fa1fca3f621e43cb2
  • 5828fd07716140e5fefec1b07751378d9b76952e66b2c0fb0a860313d4030b4d
  • 58e7af5eb1acb5c9bee821d59054c69263aed3dce1b95616255dea7114ad8494
  • 59cf961f7316656e73b269a86b04836a7a7254f021a8a3132a927b02373225d6
  • 5dafacfa147f087dd0a706cf274e20cbb58f634ba14424d3433efc2e829aa7cd
  • 5e8311c26091839a292e2d12f88378f8093fc739ced86aa1e9ba1b707ad516d8
  • 5f31d558417528b4c635afd6c17347dc393c7dfcecfb79040fe97d9f1abf3776
  • 61d1943f0b702f4c16bb37228ade1d8f0ef4675b480921950d026c82e4a65fde
  • 62d770f240cecebd6cf725df05ab1e863d83895abc9396664a6090dbcc983d6f
  • 645ee3601aea4c1af8b938f64698bf6c5978b1151aef53e183bb768791c927e2
  • 6ded96d7609cc085db57764c40a38379cba50b965f959650ca8d1605ae0411e8
  • 73903c2c46b5055380fc2a238c96f7f2ca2a5acf1cd1e568b2d2be0638c68fd1
  • 756d1cb0e74b309d53d4f16b043514da128c8b3b89c7d5e46897b61f74bad2d7
  • 7620acb11f0471515079a69ee2cec0cd74485fb13c779d41c2b43b87718c63ff
  • 7659be61fc1e16c4721b451225ec7c8f932e9e7357894ddea3a4ada9583996b5
  • 788fe764f6f5e0fff31b06fd8b94ee0cf51a3082c1321d8db96708c2a6abc3ee
  • 79440abf29d1b56cb1c95a12f554fe052e21a865fea56a025e216f342ffbccbd
  • 7e1c49d45935fb5d20add5baf60400fb64fbf0299a3af3b0be764b2d265e368a
  • 7ea21215968c43f9fe28f94926e3547f2f7a0e35cdf40392b0b6aea80fe11314
  • 8364bae4e2951957403cbe3a78362edb7d41c34f49c81f0336fcb28d1510d5e1
  • 869b8dd87e402049eae435de3de1e15a021d9fcbf79a20be3b030d3782599903
  • 86e39b5995af0e042fcdaa85fe2aefd7c9ddc7ad65e6327bd5e7058bc3ab615f
  • 8857232077b4b0f0e4a2c3bb5717fd65079209784f41694f8e1b469e34754cf6
  • 8cebfe33cd69747cc1333fe598d9b0331103e0869d6f1b1f75e28b3b8f11243d
  • 8ff84f79455b84bd73e7c0641532a60e8132599c29d3f85fb54f3d7da53e1817
  • 9015378ed6d7537f07e61c78b3c35766d63465970b63d13c9b447dc8bb90e2d7
  • 90a29c688ce683fb2201145faac00cb44c3d5566697279b68960c6bc3208ae84
  • 91f6547bceddfb2f241570ac82c00de700e311e4a38dea60d8619638f1ed3520
  • 92717951aae89e960b142cef3d273f104051896a3d527a78ca4a88c22b5216a5
  • 97efd0abf726acfc1a5b4a0b460a727724f43ef9f1e788bada4942d715d4ab87
  • 9add5663bc846b4b7cdefcd0e09b882e2f16f755e2e6540efc6ea2072c93f3f2
  • 9af8336050c40105864bf9314355471494dc631fd88a0b444291b63b941b7822
  • 9bdccd5e4617dfbcaf85228c60703369a8848ad8bb86e00e75e504a26fbe932a
  • 9cd8c5d34fd460dd0e240f5e54ade689d808469d6da5e0bd087cc71e6f851c6a
  • 9e3788cacb3d38e4e15da7e4887650efa6a3b17a65a314fcb4e059d9f88481a8
  • 9f1d1a94026c54396a4c0b6327d317836dc9dc67178810428302efcbf5225a42
  • 9fb4c9f1995b02ece99b62a4efc0df5c916a1858f57730225f3c419fce0de24c
  • a23dbce5bcde8ce541b8f326a951d29f6241280d944a1e921ca8658d3d4b65ac
  • a67094334ae2135e50bf2074f08d3a99075a53a174da6bdf22eca54293bb8e9b
  • a8f0dff3c57621282a1262ddaa559f055f2f2cc717a7695d8bfbf7a6898b843c
  • a8f3bc45ac0dcf351c028ecabfd68e8e551cd97f8dc0fc6e62e135668cde9277
  • a90e048c74697775bba2e4c4bfa45d369e44e9a020a83956aa44a50ab8a9a249
  • ab89d614923b92ce2eb7ed48357b2d1755b8a8f572ead3b32bb63a79e259186d
  • abf7bb6eb92f2f358e8e57c1be03efe5a7f81e3d3eb4134257c3483e9e7782c0
  • b29b38217921a6b36113049bd9cb4fb2ec52816bff7cd731621ff2fa3dbc7b01
  • b7a38292131c131d75413133f101114a1b72bd02e27cc6aea7a836ff964f961f
  • b9924c66506ccad566d6c26b8db499e498a9dc840acacb2d8d3bf9d73818814a
  • baaaffe80060fb89b06ff19dfb6c76835fc6639d81513e2d9e49716f1816ccc4
  • bb6cf240bdabeea90321cab7d48e268df2b5240d84aab0d5ae5ffe415a6943e4
  • bd4635d582413f84ac83adbb4b449b18bac4fc87ca000d0c7be84ad0f9caf68e
  • beb44eadd141b7ae46e40e1bf888c302cb7096826e772f0b20ce6f213c69058d
  • c617016fb8809655f9189648b9b41a727c0b49cdb79a28f13f710d23f3527a64
  • c9121c7874d2fd88ff7af35eb3f3cd18ab7162390db008043037383cdad6ff56
  • c9d5dc956841e000bfd8762e2f0b48b66c79b79500e894b4efa7fb9ba17e4e9e
  • c9ed69e7bf233ba1edd18a1f91671faee9b7756aa77fe517319098706e78cde5
  • caeb48fd04a5fe8b0b4bd32b538ed5f1f303b0487037cf37864f0b5665ff093a
  • cb8a83b590893daa9b02b8e1a1c9afb68d6f2a82c9e0d2d2c63a36a510f6fda3
  • cd6bcf240de87fe3f1b5a6a24db1b2728acad5f7bcfe124e5bc2d7bdac2f64a9
  • ce13248fa2da5b27773f855c2dd0c6ce276b4a10b020e4da57bc47ab0fe07eae
  • cfe1447e7515ad831fcfedb9a5c1a721885b0542b775e4028a277a27e724ec73
  • d12a1750980ef3943c6d7e152948059261944b8afe06b8a280b7fbe61aba3c9b
  • d139940023fa2c602e2a31faa807b9df074f34747511bd61db961d20155b8c84
  • db75b25b69b7b6f3206226461d8bde7c05049922dc463e8932d11710fad74833
  • def8fdb95bb53514698b9df1c64e329adfca59adf2e898c3daab16f1e4760bc6
  • e0c240f5776d158da7529d8c0e3d5be4d6f007e51e4be570e05b744d0452011d
  • e27bfbe87c78945b1d79fc027c3f0a27a07d0dddc742783bf686c1a8133a2f48
  • e32447bd309a6941a1fff4fa559376d9c723afd1b9ce2a1c2dced4b9db6a6f6a
  • e3e2164c54a5c8ab063695bc41b6c0c0ddc390c790de8ad24d6169dba46f7734
  • e412569c23722c469ee533efb62bbded53d1909b58c8cf7bff9897c466c9df9a
  • e4ddf5af63fdfe85c5a4573d4768699ebdaa5b5b67b7cb6834840c696808a8e5
  • e5bbbf34414426f63e6cd1354c306405e54bf31279829c7542dccfb7d85af0ec
  • e64b533d60a21ca8ddbfcf8a1b154ed351383b0196d534bf229101a6cc4d1931
  • e6fdd0d22abe3484d57715bd83143e5810b74f3f9dc8780344c66af2c0894d76
  • ec56a6fa6804e47f331daee1460c3d07e01fe45edac5d6b1feb01fbbd8396f91
  • ed6b3af0edcd3b57c0616e1b7819b5e1c1e72327300172ff2664b158f65861b2
  • edab53d39734965a7cadc2a21662d6a16c9b04b2961dfe9eb76aeda040786e25
  • f11009988b813821857c8d2db0f88e1d45b20762f62a3cf432339f352b12cefe
  • f2c5004450a749bef14ee779e1c8e4c08702f089248d0a282e6a679d29b0996d
  • f349183462f1aeac8d3afb43c723af0252c157d376637f30fb7c87fdf80ee965
  • f488e4e838fa447c9b08fc74d4180faeb465f9070c443625b7515aed7c282fa6
  • f4a31d15cd5aa3441e5e31c1add6e0c3551a1aad5abb75f0abd76990f2824acc
  • f9d94c1dcdbcefddb4f1d47291422c6198fd11052aea761acf8b5755802ca922
  • fa56ba25861f1b5040afd04bfbfd36353004cd6b2c457971fb01db26ff002f35
  • fae5b61723106d44de46b3ec49e80067f63f82f09501142186984a658bc99c38
  • fd1ec183124d2d82dae1dd228de88440bc142cf6430c9c93518e25f1dde052fd
Похожие записи:
  1. Mustang Panda APT IOCs
  2. Raspberry Robin (Roshtyak) - Part 3
  3. DeftTorero APT IOCs
  4. MafiaWare666 Ransomware IOCs
  5. Lazarus APT IOCs - Part 3
APT Avast Mustang Panda
Добавить комментарий