PureCrypter Campaign IOCs

security IOC
Опубликовано

Компания Menlo Labs обнаружила неизвестного субъекта угроз, использующего уклончивую кампанию угроз, распространяемую через Discord, которая включает загрузчик PureCrypter и нацелена на правительственные организации. Кампания PureCrypter использует домен взломанной некоммерческой организации в качестве командно-контрольного пункта (C2) для доставки вторичной полезной нагрузки. Было обнаружено, что в рамках кампании было доставлено несколько типов вредоносных программ, включая Redline Stealer, AgentTesla, Eternity, Blackmoon и Philadelphia Ransomware.

PureCrypter

По оценке Menlo Labs, эта группа угрожающих субъектов будет продолжать использовать взломанную и захваченную инфраструктуру столько, сколько сможет, прежде чем ей придется искать новое пристанище. Оставление учетных данных во вредоносном ПО - это провал OpSec, но оно оставляет след для аналитиков.

Анализ угроз показал, что PureCrypter загружает вторичную вредоносную программу, предположительно AgentTesla.

PureCrypter - это продвинутый загрузчик, который загружает трояны удаленного доступа (RAT) и Infostealers. Он продается с марта 2021 года на "hxxps[://]purecoder.sellix.io/". AgentTesla - это продвинутый бэкдор с такими возможностями, как кража сохраненных паролей из различных браузеров, ведение журнала буфера обмена, экранный кейлоггинг и захват экрана. Он написан на .net и поддерживает все версии операционной системы Windows.

В ходе расследования Menlo Labs обнаружили, что AgentTesla устанавливает соединение с FTP-сервером, где хранит украденные учетные данные жертвы. Похоже, что FTP-сервер был захвачен, и в Интернете были обнаружены утечки учетных данных домена, что позволяет предположить, что субъекты угрозы использовали эти учетные данные для получения доступа к серверу.

Примечательно также, что ссылка на загрузку вторичного вредоносного ПО находится на взломанном домене некоммерческой организации, чьи утечки учетных данных также были обнаружены в Интернете.

Образец, схожий с анализируемой нами вредоносной программой AgentTesla, был обнаружен в фишинговом электронном письме с темой "FW: New Order no. 5959" от Алехандро Гонсало (e052450f2@891f4e7e1668[.]com). Вредоносное вложение было названо "Nuevo pedido 7887979-800898.gz" и содержало учетные данные FTP-сервера, совпадающие с теми, что были найдены в первом случае.

Под этим же адресом электронной почты было обнаружено еще одно вредоносное письмо под названием "Новый заказ" с вложенным файлом "Ppurchase order6007979-709797790.gz". Это письмо также использовало тот же FTP-сервер - ftp[://]ftp.mgcpakistan[.]com - как часть процесса заражения!

FTP-сервер (ftp[://]ftp.mgcpakistan[.]com) также был замечен в кампании, использующей OneNote для доставки вредоносного ПО. Злоумышленники рассылали фишинговые электронные письма со ссылками на вредоносные файлы OneNote, которые могут загружать дополнительные вредоносные программы или красть информацию с устройства жертвы. В общей сложности команда Labs обнаружила 106 файлов, использующих указанный FTP-сервер.

В этой кампании для размещения полезной нагрузки использовался Discord, а ссылка на полезную нагрузку отправлялась по электронной почте. Чтобы обойти существующие средства защиты, PureCrypter использует защищенные паролем ZIP-файлы. Ниже приведен снимок экрана, демонстрирующий плохое обнаружение этих защищенных паролем полезных нагрузок на VT.

Для доставки полезной нагрузки злоумышленник предпринял следующие шаги:

  • жертве отправляется письмо с url приложения Discord, указывающим на вредоносный защищенный паролем zip-файл (https://cdn[.]discordapp.com/attachments/1006638283645784218/1048923462128914512/Private_file__dont_share.zip, pwd - 1234, md5- 967f9bc90202925e1f941c8ea1db2c94).
  • ZIP извлекает загрузчик, написанный на .net, под названием PureCrypter (md5 - 5420DCBAE4F1FBA8AFE85CB03DCD9BFC). Загрузчик пытается загрузить вторичную полезную нагрузку от скомпрометированной некоммерческой организации, как показано на скриншоте ниже. На момент расследования сайт взломанной некоммерческой организации был закрыт, и мы не получили вторичную полезную нагрузку.

Хотя Menlo Labs не удалось загрузить полезную нагрузку второго этапа из вышеупомянутого образца PureCrypter (md5 - 5420DCBAE4F1FBA8AFE85CB03DCD9BFC), Menlo Labs смогли определить похожие образцы, которые загружали вредоносную полезную нагрузку из взломанной некоммерческой организации. После дальнейшего расследования Menlo Labs определили, что это был AgentTesla, который обменивался данными с FTP-сервером, расположенным в Пакистане.

Этот загруженный двоичный файл упакован так, чтобы избежать первоначального обнаружения. Он содержит полезную нагрузку AgentTesla, которая зашифрована в разделе ресурсов с использованием алгоритма DES.

AgentTesla использует технику "встраивания" процессов для внедрения своей полезной нагрузки (Md5 - BCF031AB2B2B43DC382B365BA3DF9F09BC) в файл cvtres.exe. Это стандартный процесс windows, который существует во всех версиях ОС Windows.

AgentTesla использует алгоритм XOR для шифрования своего файла конфигурации. Расшифрованный файл содержит данные CnC FTP-сервера, на который AgentTesla загружает данные жертвы.

AgentTesla использует FTP для эксфильтрации данных. Для FtpWebRequest требуется путь к FTP-серверу и учетные данные для отправки украденных данных на сервер.

Indicators of Compromise

Domains

  • cents-ability.org

URLs

  • ftp://ftp.mgcpakistan.com/

MD5

  • 0d8b1ad53fddacf2221409c1c1f3fd70
  • 0ede257a56a6b1fbd2b1405568b44015
  • 14e4bfe2b41a8cf4b3ab724400629214
  • 17f512e1a9f5e35ce5761dba6ccb09cb
  • 18e9cd6b282d626e47c2074783a2fa78
  • 1d3c8ca9c0d2d70c656f41f0ac0fe818
  • 2499343e00b0855882284e37bf0fa327
  • 2964ce62d3c776ba7cb68a48d6afb06e
  • 2fa290d07b56bde282073b955eae573e
  • 3f92847d032f4986026992893acf271e
  • 5420dcbae4f1fba8afe85cb03dcd9bfc
  • 61259b55b8912888e90f516ca08dc514
  • 71b4db69df677a2acd60896e11237146
  • 754920678bc60dabeb7c96bfb88273de
  • 765f09987f0ea9a3797c82a1c3fced46
  • 785bfaa6322450f1c7fe7f0bf260772d
  • 8503b56d9585b8c9e6333bb22c610b54
  • 8ef7d7ec24fb7f6b994006e9f339d9af
  • a478540cda34b75688c4c6da4babf973
  • ae158d61bed131bcfd7d6cecdccde79b
  • b4fd2d06ac3ea18077848c9e96a25142
  • b5c60625612fe650be3dcbe558db1bbc
  • b6c849fcdcda6c6d8367f159047d26c4
  • bbd003bc5c9d50211645b028833bbeb2
  • c3b90a10922eef6d635c6c786f29a5d0
  • c9ca95c2a07339edb13784c72f876a60
  • d70bb6e2f03e5f456103b9d6e2dc2ee7
  • dbcaa05d5ca47ff8c893f47ad9131b29
  • de94d596cac180d348a4acdeeaaa9439
  • eaaf20fdc4a07418b0c8e85a2e3c9b27
  • f1c29ba01377c35e6f920f0aa626eaf5
  • F34d5f2d4577ed6d9ceec516c1f5a744
  • f4eebe921b734d563e539752be05931d
  • fa4ffa1f263f5fc67309569975611640
  • fdd4cd11d278dab26c2c8551e006c4ed

SHA256

  • 397b94a80b17e7fbf78585532874aba349f194f84f723bd4adc79542d90efed3
  • 5732b89d931b84467ac9f149b2d60f3aee679a5f6472d6b4701202ab2cd80e99
  • 5d649c5aa230376f1a08074aee91129b8031606856e9b4b6c6d0387f35f6629d
  • 7a5b8b448e7d4fa5edc94dcb66b1493adad87b62291be4ddcbd61fb4f25346a8
  • a7c006a79a6ded6b1cb39a71183123dcaaaa21ea2684a8f199f27e16fcb30e8e
  • be18d4fc15b51daedc3165112dad779e17389793fe0515d62bbcf00def2c3c2d
  • C846e7bbbc1f65452bdca87523edf0fd1a58cbd9a45e622e29d480d8d80ac331
  • efc0b3bfcec19ef704697bf0c4fd4f1cfb091dbfee9c7bf456fac02bcffcfedf
  • f950d207d33507345beeb3605c4e0adfa6b274e67f59db10bd08b91c96e8f5ad

FTP User Name

  • ddd@mgcpakistan.com
Похожие записи:
  1. RedLine Stealer IOCs
  2. RedLine Stealer IOCs - Part 2
  3. [GS-006] RedLine Stealer IOCs
  4. [GS-010] RedLine Stealer IOCs
  5. [GS-030] RedLine Stealer IOCs
AgentTesla Blackmoon Eternity Menlo Labs Philadelphia PureCrypter Ransomware RedLine Stealer
Добавить комментарий