SocGholish - это структура атаки, которую злоумышленники используют, по крайней мере, с 2020 года. Термин Soc относится к использованию социальной инженерии для внедрения вредоносного ПО в системы.
SocGholish
Заражение SocGholish начинается с выполнения конечными пользователями сценариев JavaScript с именами файлов, относящихся к известным браузерам и их обновлениям, например Opera.Update.js и Firefox.js. Заражение Zloader начинается с выполнения конечными пользователями поддельного установщика популярного приложения, такого как TeamViewer.
Операторы SocGholish ведут интенсивную разведывательную деятельность и перенаправляют вывод выполненных команд в файлы с расширением .tmp для эксфильтрации данных.
SocGholish размещают вредоносный веб-сайт, который реализует механизм drive-by-download, например, код JavaScript или перенаправления унифицированного локатора ресурсов (URL), для запуска загрузки архивного файла, содержащего вредоносное ПО.
На сайте отображается контент, который может привлечь конечных пользователей, например, критические обновления браузера. Чтобы заразить систему, конечный пользователь должен сначала вручную распаковать архивный файл, а затем запустить вредоносное ПО двойным щелчком мыши. Заражение SocGholish может привести к развертыванию фреймворка Cobalt Strike и программ-вымогателей.
Zloader - это вредоносная программа, предназначенная в первую очередь для кражи учетных данных и конфиденциальной информации, но она также обладает возможностями бэкдора и может выступать в качестве загрузчика вредоносного ПО для доставки других вредоносных программ на скомпрометированные системы. Например, в прошлом Zloader распространял разрушительные программы Egregor и Ryuk ransomware.
Впервые обнаруженный в 2016 году, Zloader постоянно совершенствуется, и в его последних версиях появились возможности уклонения от обнаружения, такие как отключение Windows Defender и использование "живых" исполняемых файлов для осуществления вредоносной деятельности. В прошлом злоумышленники распространяли вредоносную программу Zloader в виде вредоносных вложений в электронные письма.
В период с декабря 2021 года по момент написания статьи команда Cybereason MDR наблюдала увеличение числа атак с использованием SocGholish и Zloader. В атаках с использованием Zloader злоумышленники распространяли Zloader в системах через вредоносные веб-сайты, на которых вредоносная программа маскировалась под установщик популярных приложений, таких как TeamViewer.
Indicators of Compromise
IPv4
- 87.249.50.201
- 91.219.236.202
- 77.223.98.12
- 5.53.125.173
- 178.21.11.77
- 193.124.18.128
Domains
- .xen.hill-family.us
- apps.weightlossihp.com
- upstream.fishslayerjigco.com
- .host.integrativehealthpartners.com
- platform.windsorbongvape.ca
- widget.windsorbongvape.com
- sikescomposites.com
- pastorq.com
- clouds222.com
- commandaadmin.com
SHA1
- 3918a9ebe88ba272718a14c02eae148eaafbe51b
- db6e1a1dbb0e351c44b49db79b8bad3321d673a1
- 57d0c737686cf01bd6aa0ef206d3f81aee93cbbd
- 0cdaee46f8d898c253ba3427256d430de3ff7791
- 3e481043bc981eae8f0b977477024abb6e1e132e
- a187d9c0b4bdb4d0b5c1d2bdbcb65090dcee5d8c
- 41e99216782434354a16015c33dcd6550bff0a35
- 7150a4c32f401a7d924083094c3c3796a392556f