Главная страница » Индикаторы компрометации
0
2 года
Индикаторы компрометации

SuperBear RAT IOCs

remote access Trojan

8/28/2023 г. в Interlab поступил образец, направленный журналисту, с узконаправленным содержанием, заманивающим получателя открыть документ. Журналист получил письмо от активиста, которому по адресу, выдающему себя за сотрудника организации, был отправлен вредоносный документ. Документ был в формате .LNK, и при его выполнении загружалась вредоносная команда powershell и легитимный DOCX, связанный с организацией.

В результате анализа Interlab обнаружила, что после первоначальной компрометации был выполнен AutoIT-скрипт, который использовался для инъекции процессов с применением техники встраивания процессов. Инжектированный процесс содержал новую RAT, которую Interlab окрестили "SuperBear".

Скрипт AutoIT выполняет типичную операцию по выделению процесса, вызывая собственные вызовы Windows API. Сначала он вызывает команду "CreateProcess" для порождения экземпляра Explorer.exe, который содержит флаг приостановки процесса. Приостановленный процесс разворачивается с помощью команды "NtUnmapViewOfSection", после чего в него записывается вредоносный код. Затем он возобновляется с помощью команд "VirtualAllocEx", "WriteProcessMemory", "SetThreatContext" и затем "ResumeThread".

Вредоносный код этой вредоносной кампании представлял собой новый троян удаленного доступа, который мы назвали SuperBear RAT. Данный вариант SuperBear RAT устанавливал соединение с C2-сервером, расположенным по адресу:

IP-адрес: 89[.]117[.]139[.]230
Домен: hironchk[.]com

РАТ выполняет одну из 3 основных операций атаки:

  1. Эксфильтрация данных процесса и системы
  2. Загрузка и выполнение команды shell
  3. Загрузить и запустить DLL.

Действия по умолчанию для C2-сервера, по-видимому, предписывают клиентам эксфильтровать и обрабатывать системные данные. Это часто характерно для атакующих кампаний, распространяемых данной группой, так как они тщательно подходят к разведке, пример этого показан ниже. Угрожающие лица могут также поручить RAT выполнить команды shell или загрузить на зараженную машину вредоносную DLL. Вредоносная DLL попытается создать случайное имя файла, и если ей это не удастся, то он будет назван "SuperBear".

Indicators of Compromise

IPv4

  • 89.117.139.230

Domains

  • hironchk.com

MD5

  • 26893a46de61332fd08820d5dc56cd19
  • e49aaa9a5933c48feca39f3080a7b94d

SHA1

  • 557820050eaed5f32241346caeefdfff0ce44745
  • f446cbbfa04ec856431938d4beb408de4528865c

SHA256

  • 282e926eb90960a8a807dd0b9e8668e39b38e6961b0023b09f8b56d287ae11cb
  • 5305b8969b33549b6bd4b68a3f9a2db1e3b21c5497a5d82cec9beaeca007630e
Комментарии: 0
Похожие записи