Janicab Malware IOCs

malware IOC

В ходе поиска менее распространенных вторжений Deathstalker, использующих семейство вредоносных программ Janicab, Kaspersky lab обнаружили новый вариант Janicab, который использовался для атак на юридические лица на Ближнем Востоке в течение 2020 года, возможно, будет активен в течение 2021 года и потенциально расширит масштабную кампанию, которая была отслежена с начала 2015 года и была направлена на юридические, финансовые и туристические агентства на Ближнем Востоке и в Европе.

Janicab был впервые представлен в 2013 году как вредоносная программа, способная работать на операционных системах MacOS и Windows. Версия для Windows имеет имплантат на основе VBscript в качестве финальной стадии вместо комбинации C#/PowerShell, как это наблюдалось ранее в образцах Powersing. Образцы имплантатов на основе VBS, которые мы выявили на сегодняшний день, имеют различные номера версий, что означает, что они все еще находятся в разработке. В целом, Janicab демонстрирует те же функции, что и аналогичные семейства вредоносных программ, но вместо загрузки нескольких инструментов на более поздних этапах жизненного цикла вторжения, как это было в случае с EVILNUM и Powersing, в проанализированных образцах большинство инструментов встроено и обфусцировано в дроппере.

Интересно, что угрожающий агент продолжает использовать в качестве DDR веб-сервисы YouTube, Google+ и WordPress. Однако некоторые из обнаруженных ссылок на YouTube не внесены в список и относятся к 2015 году, что указывает на возможное повторное использование инфраструктуры.

Юридические фирмы и финансовые учреждения по-прежнему больше всего страдают от Deathstalker. Однако в ходе недавнего анализа вторжений Kaspersky lab подозревают, что туристические агентства - это новая вертикаль, которая ранее не подвергалась атакам этого агента угроз.

Indicators of Compromise

IPv4

  • 176.223.165.196
  • 87.120.254.100
  • 87.120.37.68

URIs

  • /d/icmpxa.exe
  • /d/procdump.exe
  • /d/Rar.exe
  • /d/unrar.exe

URLs

  • https://youtu.be/AApRxqOjLs4
  • https://youtu.be/aZRJQdwN4-g
  • https://youtu.be/Tn7L5RyRAlM
  • http://[c2_ip_address]:8080/api/icmp_kaspersky/icmpxa.exe
  • http://[c2_ip_address]:8080/api/icmpxa.exe

MD5

  • 03cfa51aa7f0893f1d0feb32b521cc61
  • 37382f2f1495f61f3504320ee4ecaf6a
  • 48e4dbc53c611cd324fcaf6418e06a52
  • 5f1a9913aec43a61f0b3ad7b529b397e
  • 7ea6f821523003a04abe5ae3ac546150
  • 84aa12fe7c7ab241a2e0ca2db5db2865
  • 8d3d2364220d376e6f8d123e57cf4551
  • 96ebcfb2cc9e6c5d0ad2cec2522f1274
  • ad2195e2977bfb824c8afdab38e531b2
  • b2e25926fe6ddcb049737cb514752a72
  • b5190d7cc4d7a59ad4962b8614db8521
  • b5450c8553def4996426ab46996b2e55
  • db1eb8b831332143349b6e6ad9ab12a2
  • ef8b8426861d7b633615fd3014021fc4
  • f086c3dbcde4228ca274be45c80c6f0f
  • f1b5675e1a60049c7cd823eba93fe977
  • f1f23d4df41c5da5444c97781ff2cab7
  • f73c54b08b84df11d90b3a009d07748f
SEC-1275-1
Добавить комментарий