Недавняя попытка заражения сети клиента была обнаружена операционным центром Metabase Q Security Operations Center. Интересно, что хотя первоначальная полезная нагрузка была правильно заблокирована EDR, использование поддельных сертификатов для попытки обойти обнаружение привлекло наше внимание.
В ходе анализа артефактов, предоставленных командой SOC, было выявлено 20 различных спам-кампаний, направленных на Чили, Мексику, Перу и Португалию, пытающихся украсть учетные данные пользователей при доступе к онлайн-банкингу, школам, государственным службам, социальным сетям, играм, электронной коммерции, публичным хранилищам и т.д., а также нацеленных на учетные данные электронной почты Outlook. Даже в некоторых случаях злоумышленники могут показываться жертве, при необходимости подделывая окна онлайн-банкинга. При первоначальном заражении злоумышленники пытались заманить жертв, чтобы те открыли различные типы поддельных счетов для оплаты, приходящих в виде HTML-страниц или PDF-файлов, защищенных паролем, как в приведенном ниже примере, направленном на мексиканских пользователей:
Из-за неправильной конфигурации, сделанной злоумышленниками, Ocelot смог захватить с 8 из 20 командных и управляющих серверов (C2) (большинство из них - взломанные веб-сайты) файлы, хранящие украденные учетные данные жертв, сводку можно увидеть в следующей таблице, показывающей шокирующие 90 518 украденных учетных данных с 17595 уникальных веб-сайтов из всех секторов!
Indicators of Compromise
IPv4
- 104.238.182.44
IPv4 Port Combinations
- 104.238.182.44:4000
- 140.82.47.181:4000
- 140.82.47.181:4001
Domains
- germogenborya.at
- germogenborya.top
- grintour.newdestuner.xyz
- russk22.icu
- vaadiandkoh.com
URLs
- http://aguiasoft.com.br
- http://aguiasoft.com.br/blog/hydra/do/it.php?b1=1&v1=3082&v2=2058&v3=windows%207&v4=admin&v5=x64
- http://blog.traveldealsbd.com
- http://blog.traveldealsbd.com/images/arrow/do/it.php?b1=1&v1=1033&v2=1033&v3=windows%207&v4=user&v5=x64
- http://explanada2023.com
- http://explanada2023.com/wp-includes/stylish/it.php?f=2&w=windows%207
- http://facturacion.sat.gob.educationalwriters.com
- http://facturacion.sat.gob.educationalwriters.com/do/it.php?f=2&w=windows%207
- http://formas-mexico.com/formas.xls
- http://germogenborya.top/rest/?h=code
- http://grintour.newdestuner.xyz/dhyhsh3a.php
- http://grintour.newdestuner.xyz/g1
- http://highlineadsl.com
- http://highlineadsl.com/ddd/it.php?f=3&w=windows%207
- http://luzca.com
- http://luzca.com/img/do/it.php?f=2&w=windows%207
- http://nbviajesacapulco.com
- http://nbviajesacapulco.com/pixel/it.php?f=2&w=windows%207
- http://nbviajesacapulco.com/pruc/it.php?f=9&w=windows%207
- http://publicpressmagazine.com
- http://publicpressmagazine.com/images/swan/do/it.php?b1=1&v1=1033&v2=1033&v3=windows%207&v4=user&v5=x86
- http://russk22.icu/brbr.txt
- http://tripsapata.com
- http://tripsapata.com/assets/images/swan/do/it.php
- http://vaadiandkoh.com/ue/app/do/it.php?f=9&w=windows%207
- http://vasuk[i].in/wp-content/img/do/it.php?f=9&w=windows%207
- http://websylvania.com
- http://websylvania.com/psj/do/it.php?b1=1&v1=3082&v2=1034&v3=windows%207&v4=admin&v5=x64
- http://www.castleblack.online
- http://www.castleblack.online/cfr/it.php?f=2&w=windows%207
- https://bdadvisors.ma
- https://bdadvisors.ma/img/do/it.php?f=2&w=windows%2010
- https://blablamap.net
- https://blablamap.net/images/arrow/do/it.php
- https://bola.com.au/images/hh/cfdi/do/it.php?f=2&w=windows%2010
- https://dicktres.com.br
- https://dicktres.com.br/pontecom/wp-content/img/do/it.php
- https://factura61.click/2/?cq9ocklyiqoszqmxy43b80jddceyl69glzh6hnkz
- https://facturaciones.click
- https://facturaciones.click/?7kqhhbee9y1fiebz0uc7izrlyj2twdzfk0qnxvxu
- https://facturaciones3.click/
- https://facturasnet.store
- https://imberform.com
- https://imberform.com/img/?dew98fy348erf7i
- https://kh7jv.store/?jdce8ift3qzj2ms4fqv8bp5q9km6bfvmkuee7qolg7z4kl9oa48smgrjdce8ift3qzj2ms4fqv8bp5q9km6bfvmkuee7qolg7z4kl9oa48smgr
- https://retiro10.click/
- https://retiro10.store/
- https://splendidgifts.com.my
- https://splendidgifts.com.my/hiway/ap2/do/it.php?b1&v1=1033&v2=1033&v3=&v4=windows%2010&v5=user&v6=x64
- https://sxconstructions.com.au
- https://sxconstructions.com.au/wp-content/img/do/it.php?b1&v1=1033&v2=1033&v3=&v4=windows%207&v5=user&v6=x%2086&v7=
- https://sxconstructions.com.au/wp-content/img/do/it.php?f=2&w=windows%210
- https://sxconstructions.com.au/wp-content/img/do/it.php?info2=datos
- https://tequilamisorpresa.com/ytweshdg.php?id=
- https://www.zairtaz.com
- https://www.zairtaz.com/wp-content/plugins/license/inc/hydra/do/it.php?f=9&w=windows%2010
MD5
- 0adb9b817f1df7807576c2d7068dd931
- 0d8d82e1810f549f8645535c836d7afd
- 2858cdf0b9fb6ddd18709909df612063
- 293b9621798ee17005d1effe463a8989
- 3fb45296abdc78792fb609c187b4a89d
- 618a60899aae66ea55e5dc8374c7b828
- 72e83b133a9e4cecd21fdb47334672f6
- a96125294afa1c3f92ab7be615dc1cbe
- ab80d005bcc4641d5d1ae75fbb2723b9
- b41e2b88fff36ff4937dc19f2677ee84
- e5967a8274d40e0573c28b664670857e
- e903b37b1e42d0b8bf0514cb13a46233