Qakbot Trojan IOCs - Part 24

remote access Trojan IOC

В последнее время участились случаи, когда товарные вредоносные программы типа Qakbot перестали использовать MS Office Macro, свой прошлый метод распространения, и вместо этого начали использовать OneNote для выполнения своих вредоносных программ.

Если вы посмотрите на случай распространения Qakbot через OneNote, который произошел 1 февраля, угрожающий агент распространял вредоносное ПО через OneNote в качестве вложения в электронное письмо Outlook, как показано на рисунке 2.

Когда пользователи открывают вложение, оно предлагает им нажать кнопку "Открыть", как в типичных вредоносных программах MS Office Macro. Однак, рядом с кнопкой "Открыть" находится скрытый объект HTA (HTML Application). Таким образом, пользователей убеждают, что они нажали кнопку "Открыть", в то время как на самом деле они выполнили объект HTA.

Когда пользователь нажимает кнопку "Открыть", файл HTA, прикрепленный как объект к OneNote, создается во временном пути. После этого процесс mshta, который является программой подключения расширения HTA, используется для окончательного выполнения вредоносного HTA-файла. Вредоносный VBS-код включается в HTA, а Qakbot загружается через curl, обычную утилиту Windows. Наконец, Qakbot исполняется с помощью rundll32.exe.

Indicators of Compromise

URLs

  • http://139.99.117.17/31828.dat

MD5

  • 8b46417297995d5a9a705b54303ace30
  • bc6e2129bbd64375c9254fbd17ab5f14
SEC-1275-1
Добавить комментарий