GOOTLOADER IOCs

security IOC

С января 2021 года компания Mandiant Managed Defense постоянно реагирует на заражения GOOTLOADER. Угрозы широко распространяют GOOTLOADER и затрагивают широкий спектр отраслей и географических регионов.

Начиная с 2022 года, UNC2565 начала вносить заметные изменения в тактику, методы и процедуры (ТТП), используемые в ее операциях. Эти изменения включают использование нескольких вариантов пусковой установки FONELAUNCH, распространение новых дополнительных полезных нагрузок, изменения в загрузчике GOOTLOADER и цепочке заражения, включая внедрение GOOTLOADER.POWERSHELL. Эти изменения свидетельствуют об активном развитии и росте возможностей UNC2565.

Наблюдения Mandiant за активностью GOOTLOADER после компрометации в основном ограничивались внутренней разведкой, поскольку эти вторжения быстро обнаруживались и устранялись.

GOOTLOADER

Заражение GOOTLOADER начинается с того, что пользователь ищет в Интернете документы, связанные с бизнесом, например, шаблоны, соглашения или контракты. Жертву заманивают на взломанный веб-сайт и загружают вредоносный архив, содержащий файл JavaScript под названием GOOTLOADER.

При успешном выполнении файла GOOTLOADER загружаются дополнительные полезные нагрузки, FONELAUNCH и Cobalt Strike BEACON или SNOWCONE, которые сохраняются в реестре. На более поздних этапах эти полезные нагрузки выполняются через PowerShell.

С конца 2020 года кампании GOOTLOADER реализовывали относительно последовательные цепочки заражения. Однако начиная с середины ноября 2022 года в цепочке заражения произошли заметные изменения. До ноября 2022 года типичная цепочка заражения GOOTLOADER выглядела следующим образом:

  1. Пользователь посещает скомпрометированный UNC2565 сайт (обычно связанный с деловой документацией) и загружает вредоносный ZIP-архив.
  2. Вредоносный ZIP-архив сохраняется в папке "Загрузки" пользователя.
  3. Пользователь открывает ZIP-файл и нажимает на .JS-файл внутри.
  4. JS-файл запускается с помощью WScript.exe.
  5. Процесс WScript.exe обращается к трем жестко закодированным доменам и загружает две полезные нагрузки, которые сохраняются в реестре.
  6. WScript.exe сохраняет первую полезную нагрузку реестра (FONELAUNCH) как значение в пути HKCU\SOFTWARE\Microsoft\<STRING>\%USERNAME%0.
  7. WScript.exe сохраняет вторую полезную нагрузку реестра (обычно BEACON) как значение по пути HKCU\SOFTWARE\Microsoft\<STRING>\%USERNAME%0.
  8. WScript.exe выполняет сценарий PowerShell, который декодирует и выполняет первую полезную нагрузку. Эта полезная нагрузка представляет собой пусковую установку на базе .NET, которую Mandiant отслеживает как FONELAUNCH.
  9. WScript.exe выполняет команду PowerShell, которая создает запланированную задачу, выполняющую тот же сценарий PowerShell, упомянутый в предыдущем шаге. Имя пользователя текущей учетной записи будет использоваться для имени задачи, и задача будет установлена на выполнение при входе пользователя в систему.
  10. Первая полезная нагрузка реестра (FONELAUNCH) декодирует и выполняет вторую полезную нагрузку реестра, которая содержит вредоносное ПО Cobalt Strike BEACON или SNOWCONE.

В ноябре 2022 года компания Managed Defense обнаружила новый вариант GOOTLOADER, отслеживаемый как GOOTLOADER.POWERSHELL, использующий новую цепочку заражения. Этот новый вариант записывает второй файл .JS на диск и создает запланированную задачу для его выполнения. Сценарий обращается к 10 жестко закодированным URL-адресам. Запрос URL содержит закодированные данные о хосте, такие как запущенные процессы и локальные диски. Последующая деятельность аналогична предыдущим версиям GOOTLOADER, где полезная нагрузка записывается в реестр. Цепочка атак этого нового варианта выглядит следующим образом:

  1. Пользователь посещает UNC2565-компрометированный сайт (обычно связанный с деловой документацией) и загружает вредоносный ZIP-архив.
  2. Вредоносный ZIP-архив сохраняется в папке "Загрузки" пользователя.
  3. Пользователь открывает ZIP-архив и щелкает по находящемуся в нем файлу .JS. Это троянская библиотека JavaScript, содержащая обфусцированный файл JScript, который в конечном итоге выполнит GOOTLOADER.POWERSHELL. Недавно замеченные троянские библиотеки JavaScript включают jQuery, Chroma.js и Underscore.js.
  4. JS-файл запускается с помощью WScript.exe.
  5. Процесс WScript.exe создает раздутый файл с расширением .LOG в C:\Users\%USERNAME%\AppData\Roaming\<RANDOM_DIRECTORY>\<HARD_CODED_FILE_NAME>. Дроппер записывает еще больше обфусцированного кода JScript, за которым следует вставка случайных символов для увеличения размера файла.
  6. Файл .LOG переименовывается с расширением .JS.
  7. Дроппер создает запланированную задачу, которая выполняет новый файл JScript. Задание по расписанию выполняется сразу после создания, но также служит в качестве механизма сохранения для запуска второго файла JScript при следующем входе в систему.
  8. WScript.exe и CScript.exe запускают процесс PowerShell, который обращается к 10 жестко закодированным доменам.
    Собранная информация о жертве включает переменные среды, версию ОС Windows, имена файлов и запущенные процессы. Эта информация сжимается Gzip, кодируется Base64 и отправляется на командно-контрольный сервер (C2) в заголовке Cookie.
  9. C2 возвращает полезную нагрузку, которая выполняется с помощью команды Invoke-Expression PowerShell. Это приводит к загрузке двух полезных нагрузок в ключи реестра: FONELAUNCH и вторичная полезная нагрузка, которая будет выполнена FONELAUNCH (зеркальное отражение шагов с 6 по 10 предыдущей цепочки заражения).

Indicators of Compromise

Domains

  • jonathanbartz.com
  • jp.imonitorsoft.com
  • junk-bros.com
  • kakiosk.adsparkdev.com
  • kepw.org
  • kristinee.com
  • lakeside-fishandchips.com

URLs

  • https://108.61.242.65/dot.gif
  • https://108.61.242.65/submit.php
  • https://146.70.78.43/fwlink
  • https://146.70.78.43/submit.php
  • https://45.150.108.213/ptj
  • https://45.150.108.213/submit.php
  • https://87.120.254.39/ga.js
  • https://87.120.254.39/submit.php
  • https://92.204.160.240/load
  • https://92.204.160.240/submit.php

MD5

  • 04746416d5767197f6ce02e894affcc7
  • 08fa99c70e90282d6bead3bb25c358dc
  • 1011b2cbe016d86c7849592a76b72853
  • 2eede45eb1fe65a95aefa45811904824
  • 328b032c5b1d8ad5cf57538a04fb02f2
  • 35238d2a4626e7a1b89b13042f9390e9
  • 3d768691d5cb4ae8943d8e57ea83cac1
  • 53c213b090784a0d413cb00c27af6100
  • 7352c70b2f427ef4ff58128a428871d3
  • 7a1369922cfb6d00df5f8dd33ffb9991
  • 80a79d0c9cbc3c5188b7a247907e7264
  • 82607b68e061abb1d94f33a2e06b0d20
  • 84f313426047112bce498aad97778d38
  • 92a271eb76a0db06c94688940bc4442b
  • 961cd55b17485bfc8b17881d4a643ad8
  • a0b7da124962b334f6c788c27beb46e3
  • a4ee41bd81dc3b842ddb2952d01f14ed
  • ab1171752af289e9f85a918845859848
  • aec78c1ef489f3f4b621037113cbdf81
  • aef6d31b3249218d24a7f3682a00aa10
  • af9b021a1e339841cfdf65596408862d
  • bee08c4481babb4c0ac6b6bb1d03658e
  • d3787939a5681cb6d6ac7c42cd9250b5
  • d401dc350aff1e3fd4cc483238208b43
  • d6220ca85c44e2012f76193b38881185
  • ea2271179e75b652cafd8648b698c6f9
  • ec17564ac3e10530f11a455a475f9763
  • f9365bf8d4b021a873eb206ec98453d9
SEC-1275-1
Добавить комментарий