DolphinCape Spyware IOCs

security IOC

CERT-UA 08.12.2022 от специалистов подразделения кибербезопасности АО "Укрзализныця" получена информация о рассылке электронных писем с темой "Як розпізнати дрон-камікадзе." с адреса "morgunov.a@dsns.com[.]ua", якобы, от имени Государственной службы Украины по чрезвычайным ситуациям. Для этого, среди прочего, 08.11.2022 зарегистрировано соответствующее доменное имя.

Во вложении к письму находится RAR-архив "shahed-136.rar", содержащий PPSX-документ "shahed.ppsx", который, в свою очередь, содержит VBScript-код, предназначенный для создания запланированного задания, а также дешифровки, создания на ЭВМ и запуска PowerShell-скрипта. При этом, криптографическое преобразование данных осуществляется с помощью алгоритма RC4, а в качестве ключа выступает строка, которая является результатом конкатенации значения свойства "Manager" и названия документа ("ТТрігубенко Сергій Георгійович|shahed.ppsx").

Упомянутый PowerShell-скрипт с помощью командлета BitsTransfer (Background Intelligent Transfer Management) осуществит загрузку исполняемых файлов "WibuCm32.dll", "CodeMeter.exe" (легитимная программа), а также создание запланированной задачи для запуска последнего. При этом, будет использована техника DLL Side-Loading.

Файл "WibuCm32.dll" классифицирован как вредоносная программа DolphinCape, которая разработана с использованием языка программирования Delphi и основным функционалом которой является сбор информации об ЭВМ (имя хоста, имя пользователя, разрядность, версия ОС, значение переменных среды), запуск EXE/DLL файлов, отображение списка файлов и их выгрузка, а также создание и эксфильтрация снимков экрана.

Indicators of Compromise

IPv4

  • 195.123.237.147
  • 202.157.187.190

Domains

  • dsns.com.ua

URLs

  • http://195.123.237.147/manifests/win/WIBU/Manifest?r=rev1&role=
  • http://202.157.187.190/cgi-bin/rarcheckcert.cgi/http/20221208011644645.stc
  • http://202.157.187.190/cgi-bin/rarcheckcert.cgi/http/20221208011644645.cda
  • http://202.157.187.190/cgi-bin/rarcheckcert.cgi/http/20221208011644645.cda
  • http://202.157.187.190/cgi-bin/rarcheckcert.cgi/http/20221208011644645.stk
  • http://202.157.187.190/cgi-bin/rarcheckcert.cgi/http/20221208011644645.stc
  • http://202.157.187.190/cgi-bin/rarcheckcert.cgi/http/20221208011644645.stt
  • http://202.157.187.190/cgi-bin/rarcheckcert.cgi/http/20221208011644645.stf

Emails

  • morgunov.a@dsns.com.ua

User-Agent

  • Mozilla/3.0 (compatible; Indy Library)

MD5

  • 142893c48b76b7e9d0f7ce74e16aaf1f
  • 241e4285a84be65cf16778462f06b9a8
  • 247997c2b4431585f9355d3324410298
  • 3444e86aefa7bc2dbce34903f805400d
  • 98c3d5347842743bfb4ade50b39226c1

SHA256

  • 2c1a2fe3fb418601f3adc9256e1ff2c509178483fdbb0e964f52fb6b30be1129
  • 460244cbf353b15b52c69952dd3b2549de79c590c56807bc25d4896dd0016655
  • 5137a888271b08f388d863433e5f0f1b129e15d4c812b95c831e93e27ec45bd6
  • 6ee62645cd97fb0b41fdf219b9a2a8211324ded110b5c7f09b3d9881abb2a594
  • 772654b186ad9fbd0a80f03ceae7d327b45c8944452cc39048160b1f6d8f2672

File Paths

  • %LOCALAPPDATA%\Microsoft\msWIBU\
  • %LOCALAPPDATA%\Microsoft\msWIBU\CodeMeter.dat
  • %LOCALAPPDATA%\Microsoft\msWIBU\CodeMeter.exe
  • %LOCALAPPDATA%\Microsoft\msWIBU\WibuCm32.dll
  • %TMP%\mso\SearchEmbdIndex.ps1
SEC-1275-1
Добавить комментарий