APT-группы часто используют некоторые необычные типы файлов для размещения вредоносного кода с целью повышения вероятности защиты от антивирусного ПО, например, файлы образов CD-ROM (.iso) и файлы виртуальных жестких дисков (.vhd), злоупотребления которыми мы отслеживали в последние годы. А использование этих двух форматов позволяет эффективно обходить механизм MOTW (мера безопасности, при которой Windows выводит предупреждающее сообщение, когда пользователь пытается открыть файл, загруженный из Интернета).
Прочесывая недавно загруженные vhdx-файлы, Qianxin обнаружили, что с сентября по декабрь 2022 года группа "Касабланка" подозревается в атаках на Россию, а ее цели включают Российское федеральное агентство правительственного сотрудничества, Министерство внешних связей Астраханской области России и т.д., причем уровень обнаружения некоторых образцов всегда равен 0.
Анализируя и систематизируя перехваченные образцы, группа Kasablanka использовала в качестве точки входа для атаки социально сконструированное фишинговое письмо с прикрепленным файлом образа виртуального диска, в который вложены различные виды полезной нагрузки следующего этапа, включая lnk-файлы, zip-пакеты и исполняемые файлы. На ранних стадиях атаки конечным исполняемым файлом был коммерческий троянец Warzone RAT, на более поздних стадиях атаки мы наблюдали, что исполняемый троянец сменился на Loda RAT.
Indicators of Compromise
IPv4
- 179.60.150.118
- 193.149.129.151
- 193.149.176.254
- 45.61.137.32
- 89.22.233.149
MD5
- 00b9b126a3ed8609f9c41971155307be
- 0dcd949983cb49ad360428f464c19a9e
- 11ed3f8c1a8fce3794b650bbdf09c265
- 23d5614fcc7d2c54ed54fb7d5234b079
- 32a0a7fa5893dd8d1038d1d1a9bc277a
- 4d75d26590116a011cbebb87855f4b4f
- 4f7e2f5b0f669599e43463b70fb514ad
- 56d1e9d11a8752e1c06e542e78e9c3e4
- 574e031a4747d5e6315b894f983d3001
- 6b42e4c5aecd592488c4434b47b15fbb
- 6be3aecc5704c16bf275e17ca8625f46
- 6d710d1a94445efb0890c8866250958e
- 87125803f156d15ed3ce2a18fe9da2b8
- 8a548f927ab546efd76eeb78b8df7d4c
- 8f52ea222d64bbc4d629ec516d60cbaf
- 9ea108e031d29ee21b3f81e503eca87d
- a07c6e759e51f856c96fc3434b6aa9f8
- bd5c665187dfb73fc81163c2c03b2ddf
- c3b3cb77fcec534763aa4d3b697c2f8c
- d82743e8f242b6a548a17543c807b7b0
- db9f2d7b908755094a2a6caa35ff7509
- e4a678b4aa95607a2eda20a570ffb9e1