В марте 2023 года исследователи получили информацию и данные о продолжающейся операции с вредоносным ПО, поразившей более 8 000 целей в течение нескольких недель, с особым упором на североамериканские, итальянские и французские цели.
Эта атака была связана со всемирной операцией по распространению вредоносного ПО, известной как NullMixer - спорный и широко распространенный маневр доставки вредоносного ПО, основанный на отравлении SEO и технике социальной инженерии для привлечения технически подкованных пользователей, включая ИТ-персонал.
Анализ этой волны атак выявил наличие спорного фрагмента кода в поставляемой полезной нагрузке, среди дополнительных загрузчиков, связанных с новыми операторами MaaS и PPI.
- Италия и Франция являются излюбленными европейскими странами с точки зрения оппортунистических злоумышленников.
- За тридцать дней операция смогла установить первоначальный доступ к более чем 8 тысячам конечных точек и украсть конфиденциальные данные, которые теперь попадают на подпольные черные рынки.
- Большинство жертв устанавливают операционные системы Windows 10 Professional и Enterprise, включая несколько Datacenter-версий Windows Server. Некоторые из них также являются Windows Embedded, что свидетельствует о проникновении такого вредоносного ПО даже в IoT-среды.
- Пакет NullMixer включает в себя новые полиморфные загрузчики сторонних поставщиков услуг MaaS и PPI на подпольных рынках, а также фрагменты спорного, потенциально связанного с Северной Кореей кода псевдоманускрипта.
Indicators of Compromise
IPv4
- 154.221.31.191
- 45.12.253.56
- 45.12.253.72
- 45.12.253.98
- 45.130.151.133
- 47.90.167.104
Domain Port Combinations
- hrabrlonian.xyz:81
URLs
- http://195.123.211,56/index.php
- http://34.80.59.191/win.pac
- http://34.80.59.191:8183/
- http://45.12.253,56/advertisting/plus.php
- http://91.201.115.148
- http://crashedff.xyz/addnew.php
MD5
- 53f9c2f2f1a755fc04130fd5e9fcaff4
- 6ffbbca108cfe838ca7138e381df210d
- aaa7586b2e64363b85571195a01b14e9
- b2efceab3748f46e64091e87b1767abf
- c4ffe80effddba0b8d9f82988464c5d0
- e299ac0fd27e67160225400bdd27366f