В ходе поиска менее распространенных вторжений Deathstalker, использующих семейство вредоносных программ Janicab, Kaspersky lab обнаружили новый вариант Janicab, который использовался для атак на юридические лица на Ближнем Востоке в течение 2020 года, возможно, будет активен в течение 2021 года и потенциально расширит масштабную кампанию, которая была отслежена с начала 2015 года и была направлена на юридические, финансовые и туристические агентства на Ближнем Востоке и в Европе.
Janicab был впервые представлен в 2013 году как вредоносная программа, способная работать на операционных системах MacOS и Windows. Версия для Windows имеет имплантат на основе VBscript в качестве финальной стадии вместо комбинации C#/PowerShell, как это наблюдалось ранее в образцах Powersing. Образцы имплантатов на основе VBS, которые мы выявили на сегодняшний день, имеют различные номера версий, что означает, что они все еще находятся в разработке. В целом, Janicab демонстрирует те же функции, что и аналогичные семейства вредоносных программ, но вместо загрузки нескольких инструментов на более поздних этапах жизненного цикла вторжения, как это было в случае с EVILNUM и Powersing, в проанализированных образцах большинство инструментов встроено и обфусцировано в дроппере.
Интересно, что угрожающий агент продолжает использовать в качестве DDR веб-сервисы YouTube, Google+ и WordPress. Однако некоторые из обнаруженных ссылок на YouTube не внесены в список и относятся к 2015 году, что указывает на возможное повторное использование инфраструктуры.
Юридические фирмы и финансовые учреждения по-прежнему больше всего страдают от Deathstalker. Однако в ходе недавнего анализа вторжений Kaspersky lab подозревают, что туристические агентства - это новая вертикаль, которая ранее не подвергалась атакам этого агента угроз.
Indicators of Compromise
IPv4
- 176.223.165.196
- 87.120.254.100
- 87.120.37.68
URIs
- /d/icmpxa.exe
- /d/procdump.exe
- /d/Rar.exe
- /d/unrar.exe
URLs
- https://youtu.be/AApRxqOjLs4
- https://youtu.be/aZRJQdwN4-g
- https://youtu.be/Tn7L5RyRAlM
- http://[c2_ip_address]:8080/api/icmp_kaspersky/icmpxa.exe
- http://[c2_ip_address]:8080/api/icmpxa.exe
MD5
- 03cfa51aa7f0893f1d0feb32b521cc61
- 37382f2f1495f61f3504320ee4ecaf6a
- 48e4dbc53c611cd324fcaf6418e06a52
- 5f1a9913aec43a61f0b3ad7b529b397e
- 7ea6f821523003a04abe5ae3ac546150
- 84aa12fe7c7ab241a2e0ca2db5db2865
- 8d3d2364220d376e6f8d123e57cf4551
- 96ebcfb2cc9e6c5d0ad2cec2522f1274
- ad2195e2977bfb824c8afdab38e531b2
- b2e25926fe6ddcb049737cb514752a72
- b5190d7cc4d7a59ad4962b8614db8521
- b5450c8553def4996426ab46996b2e55
- db1eb8b831332143349b6e6ad9ab12a2
- ef8b8426861d7b633615fd3014021fc4
- f086c3dbcde4228ca274be45c80c6f0f
- f1b5675e1a60049c7cd823eba93fe977
- f1f23d4df41c5da5444c97781ff2cab7
- f73c54b08b84df11d90b3a009d07748f