STEPPY#KAVACH IOCs

security IOC

Команда исследования угроз Securonix недавно обнаружила новую кампанию вредоносных атак, связанную с вредоносным агентом угроз (MTA), отслеживаемым Securonix как STEPPY#KAVACH, направленную на жертв, вероятно, связанных с правительством Индии.

Новая вредоносная кампания STEPPY#KAVACH, которую Securonix наблюдали в течение последних нескольких недель, похоже, имеет много общих ТТП с угрозами SideCopy/APT36, которые были чрезвычайно активны в 2021 году и ранее приписывались Пакистану некоторыми исследователями.

Вредоносная атакующая кампания STEPPY#KAVACH, включала заражение, начиная с целевой фишинговой кампании. Файлы .LNK используются для инициирования выполнения кода, который в конечном итоге загружает и запускает вредоносную полезную нагрузку C#, функционирующую как троян удаленного доступа (RAT).

Основная цель: Как уже упоминалось, существует сходство между последней атакующей кампанией STEPPY#KAVACH и предыдущими кампаниями, запущенными APT36/SideCopy/TransparentTribe и т.д. Как и в прошлых кампаниях, о которых сообщалось, в этой новой кампании основной целью являются индийские государственные служащие.

Доставка полезной нагрузки: Способ доставки, который мы подробно рассмотрим позже, включал фишинговые электронные письма, которые заманивали пользователя открыть файл ярлыка (.LNK) для выполнения удаленной полезной нагрузки .HTA с помощью mshta.exe.

Исполняемый файл: RAT или исполняемый файл, поставляемый на начальном этапе заражения, чрезвычайно похож на полезную нагрузку, поставляемую SideCopy в прошлом. Во-первых, полезная нагрузка закодирована на языке программирования C#. При просмотре дизассемблированного исходного кода многие из тех же функций остаются неизменными, хотя и переименованными. Кроме того, использование Triple-DES в режиме ECB для шифрования C2-коммуникаций также исторически использовалось в предыдущих версиях.

Документ-приманка: Файл, используемый для того, чтобы заманить пользователя открыть его, исторически содержит ссылку на новостную статью, касающуюся правительства Индии. Это могут быть различные отчеты, информация о совещаниях, списки адресов или общие документы в формате PDF. В этом недавнем случае в качестве приманки использовался файл .png, содержащий новостную статью годичной давности.

Хостинг-провайдер C2: Каждый из IP-адресов, обнаруженных в исполняемых файлах, как оказалось, имеет одного из нескольких хостинг-провайдеров, происходящих из Германии.

В целом, очевидно, что это очень целенаправленная атака на правительство Индии. Двоичный файл mm1.exe ищет очень специфический файл базы данных (kavach.db), что означает, что злоумышленник обладал внутренней информацией о предполагаемой цели. Некоторые из этих сведений включают элементы управления безопасностью, например, какой клиент MFA использовался сотрудниками.

Изображение-приманка также содержит ссылку на новостную статью с сайта .gov в Индии, а взломанный сайт, использованный злоумышленником для размещения вредоносного файла HTA, также находится в Индии. Кроме того, тот факт, что C2-сервер злоумышленника перенаправляет на индийский правительственный сайт электронной почты, еще больше подтверждает характер и цель атаки.

Судя по данным, полученным из бинарных образцов RAT, используемых субъектами угрозы, эта кампания велась против индийских целей незамеченной в течение последнего года. На основании показателей, обнаруженных нашей командой в последнее время, мы можем сделать вывод, что субъекты угрозы все еще активны и не планируют прекращать свою деятельность.

Indicators of Compromise

SHA256

  • 0eb2da6e6905e46ceb2a7c50500e9a5cb2a35cd4879ad3ad78d11d6e60a82a69
  • 36eda255b689e66fbc70ae0264eed7b79ed99022e4b3409748474d9bb73ae64e
  • 3a6ab95138ee9bd3a74f7c8dce93469e78588ddbfc6a44d85e9b1b849fa13ba7
  • 5ad783061390d75d7d947b6801b0e0b8d677b656ae6508bf6d355a32ab5c2fdf
  • 6484088f132efbd416eba7ac3f3339a41500f28bf8d58b18b4da75258c8a2fb4
  • 66c4f5b3702cc76b6ae67851835e078c16c88f716eae8375c1ba797c6eaa375f
  • 889dd2abc6aa85863d6ea46c86d95050ac702c5743523ef5aeec63a8ff356d34
  • 963f1895a44f94c995b901a8ce896efacce0c1a8662a20ba1348eb7c6325cc19
  • c7c6ea40ce0f0f540dae8512b1b26f32f465eb70ec248aa540d119e86356afb4
  • c8127216d74724b9bbad1cffe2d00acd908c2ba664e37fe2f97f397ada5e75d6
  • cb9ab35ec79e0ccb2b567f424d4e0e7a69732ccfd0c3cdb0b06580922aa06c35
  • d2bfc378333fe73770c459f5f509626991e90ea5a53f5207a2d018bd82a8fed7
  • d47a36fe2490e0e480dd59827495da93abe997cf20302aaedadca5988295c526
  • df16aab18a13f16fa272555e6aa762f5098b0c4f06cb26bfbcc23a5f4f8668db
  • e56cbac2134c6bcb67cf25428f8d7db959d341a26d81e4eb4f9f77e7186e5906
  • fb4a2bac3e60b6a84c7ae19e73e57f3677673823da3ce8c90dfe697313b7438c
SEC-1275-1
Добавить комментарий