BRAINSTORM Dropper IOCs

security IOC

Два столпа в магии ловкости рук - это действие, инициированное пользователем, когда цель должна поверить, что ее действия являются ее собственными, и скрытое действие, когда трюк должен быть скрыт за чем-то обычным и не представляющим угрозы. Компании Mandiant стало известно о цепочке методик противника, которые используют эти две составляющие для достижения стойкости.

BRAINSTORM Dropper

Компании Mandiant стало известно о цепочке методик противников, которые используют эти два компонента для достижения стойкости:

  • Пользователь запускает файл ярлыка LNK, который, без его ведома, был подделан.
  • Модифицированный файл ярлыка LNK запускает легитимный браузер, скрывая вредоносное расширение.

В ходе поиска этой методики Mandiant обнаружил BRAINSTORM, дроппер на основе ржавчины, который в конечном итоге привел к RILIDE, расширению на основе хрома, о котором впервые публично сообщила SpiderLabs. Тщательное расследование показало, что экосистема кражи электронной почты и криптовалюты, используемая RILIDE, больше, чем сообщалось. В данном исследовании будут рассмотрены соответствующие методологии противника, обсуждены выявленные семейства вредоносных программ, использующие эти методологии, а также приведены многочисленные возможности обнаружения, чтобы расширить репертуар средств поиска и обнаружения защитника.

В ходе поиска этой методики Mandiant обнаружил BRAINSTORM, дроппер на основе Rust, который в конечном итоге привел к RILIDE, расширению на основе Chromium, о котором впервые публично сообщила SpiderLabs. Тщательное расследование показало, что экосистема кражи электронной почты и криптовалюты, используемая RILIDE, больше, чем сообщалось.

Файл LNK

Файлы с расширением .lnk в просторечии называют LNK-файлами, но официально они известны как Shell Link Binary Files и имеют стандартный формат. Файлы LNK содержат информацию, указывающую при взаимодействии с пользователем на другой объект данных в системе. Во многих случаях это прозрачно для конечного пользователя. Пользователь Windows может щелкнуть на значке Google Chrome в меню "Пуск", и откроется браузер Chrome. Пользователю не показывают, что он выполняет LNK-файл со свойствами, указывающими на реальный исполняемый файл Chrome.

Файл CRX

Файл CRX - это набор файлов, заархивированных в один пакет, который можно использовать в качестве расширения в браузерах на базе Chromium. Расширения улучшают работу браузера, добавляя в него дополнительные функции и возможности. Многие браузеры имеют магазин расширений, где пользователь может просматривать и устанавливать их в свой браузер через сам браузер; в целом это считается более безопасной практикой, поскольку компания-владелец программного обеспечения браузера проводит анализ самих расширений, пытаясь выявить вредоносные расширения.

Однако, в зависимости от настроек безопасности, браузеры позволяют вручную загружать CRX-файлы или распакованные расширения. Упакованные расширения (файлы CRX) представляют собой один файл с расширением .crx, а распакованное расширение - это каталог, содержащий файлы расширения.

В течение 2022 года компания Mandiant наблюдала, как несколько финансово мотивированных субъектов угроз распространяли и/или проявляли интерес к использованию вредоносных расширений браузера в своих операциях.

Злоупотребление LNK и CRX

Хотя ранее Mandiant уже сообщала о злоупотреблении файлами LNK и CRX по отдельности, недавно замеченная методология противников использовала оба типа файлов в цепочке событий, а связующим звеном между ними стал переключатель --load-extension в браузерах на базе Chromium.

Переключатель --load-extension позволяет источнику указать целевой каталог для загрузки в качестве расширения. Это дает вредоносному ПО возможность запускать новое окно браузера с загруженным вредоносным расширением.

Indicators of Compromise

IPv4

  • 104.168.167.25
  • 146.70.79.75
  • 172.67.192.61
  • 45.159.188.125
  • 89.185.85.144

Domains

  • 2022-blanks.site
  • ashgrrwt.click
  • extenision-app.com
  • finandy.info
  • finandy.online
  • flnand.online
  • kz-smartbank.com
  • mareux.online
  • mmarx.quest
  • nch-software.info
  • okxsat.xyz
  • pr-tracker.online
  • qivvi-3.click
  • serienjunkies.us
  • telegromcn.org
  • vceilinichego.ru
  • vse-blanki.online

URLs

  • http://nch-software.info/1/2.exe
  • http://vceilinichego.ru/api/machine/
  • http://vceilinichego.ru/api/machine/get-urls
  • http://vceilinichego.ru/api/machine/init
  • http://vceilinichego.ru/api/machine/set-urls
  • https://146.70.79.75/
  • https://146.70.79.75/1/2.exe
  • https://146.70.79.75/1/install-win64-11.5.8_en-US.exe
  • https://146.70.79.75/2.exe
  • https://146.70.79.75/admin_cp/
  • https://146.70.79.75/templates/
  • https://146.70.79.75/templates/light.dotm
  • https://146.70.79.75/templates/light.pub
  • https://146.70.79.75/templates/light.xlsm
  • https://146.70.79.75/templates/x64.xll
  • https://146.70.79.75/templates/x86.xll
  • https://nch-software.info/1/2.exe
  • https://nch-software.info/1/install-win64-11.5.8_en-US.exe
  • https://panger-top.click/1/2.exe
  • https://panger-top.click/1/install-win64-11.5.8_en-US.exe
  • https://vceilinichego.ru
  • https://vceilinichego.ru/api/machine
  • https://vceilinichego.ru/api/machine/
  • https://vceilinichego.ru/api/machine/check-tasks
  • https://vceilinichego.ru/api/machine/get-urls
  • https://vceilinichego.ru/api/machine/init
  • https://vceilinichego.ru/api/machine/set-tasks
  • https://vceilinichego.ru/api/machine/set-urls

MD5

  • 020a8ed8a2b123f6c58fed791c6ef636
  • 028b2f15560b0f80514cf0a23ae77a43
  • 0a4834d3da05a1d0b2f3a0c13f352a0a
  • 0a4f321c903a7fbc59566918c12aca09
  • 0fc2bd7320c2edfd7985b87fc8cb1f96
  • 19c859513f67400f3563e656f27df1c0
  • 1af84663df057aee4934abe717938b33
  • 219070a2502a47a50dd3df5c804074b4
  • 223e499f6ba6ebdacf1dcff96008635b
  • 2782af385665c765807ed887d4bacf36
  • 30abf9ca1bb792eb5edd8b033c010979
  • 3235e27576dd4e81f1c5986212ec2b78
  • 34eea751fcbf4ee8d44977adb4742d93
  • 395bef4512a3743299a45d4f9b74a2ee
  • 3bf971fcaa2a3bd321f4e0b6864cb86a
  • 3e181d794e62af5c54d4df5517766af8
  • 41a5f1c5d032bcac16c903681674872c
  • 4724261ef04e2301ecc9ac994b4b346e
  • 4f506058ab8bfc5746308a95e34dce85
  • 5133177ac4950cf772d2f729bb0622ec
  • 5b7a2e7195bceb8e125758ae27c1e791
  • 69a1c37a796dd3ed81785c1995f0973f
  • 6b2e6d6650116d372ca8c47af08ca8fa
  • 6e426758f184b5a942428731b749b000
  • 70700ae977a0f3ca6a331842d8c103c9
  • 770dd49f7340003d9c66b58cd793dada
  • 89c34309aca3214c3ce7c72b407570e8
  • 94c16b8f9236ab88bb0bca60c4399665
  • 9984af7a440c39b7ac11a68f2da48137
  • 9e5f43b2dc1606e27fa0cfdfb4e363d2
  • 9fe5b99b20bc91995b81eddd917bff50
  • ac00b947ca51d0e71b4c792f1646e4e0
  • b7ad9777e3166628abe11dd043ddfb7e
  • b7bf29a9d19af79a0872b8fcf482331b
  • baee9ba0b94ea1e2b2e566fc8a615554
  • bb8323247baad2d592e7ad1896935dd1
  • d41b7138ad25d0401acf3298d0110342
  • d54fa225b07298ec34be872cd4ebf4ae
  • d56d195ebfaea6d97cccddcf3823be24
  • de283dfb9c88dbb6d455ca4b31c57240
  • ea7496d6fb96e3c1e00a1d5f501f6724
  • f1c21a69ed9f85e12d58ef0f5ac5c9b1
  • f2f85d38b91f582a83388690fdc45284
  • f31e9238593b34b390ab8faf755e6ede
  • f483821b0650653e4da643b212025709
  • f6b319a6fa13e4537c4cf59675055661
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий