MuddyWater APT IOCs - SEC-1275-1

30 октября компания Deep Instinct обнаружила два архива, размещенных на "Сториблоке", содержащих новый многоступенчатый вектор заражения. Он содержит скрытые файлы, LNK-файл, инициирующий заражение, и исполняемый файл, предназначенный для раскрытия документа-обманки и запуска Advanced Monitoring Agent, инструмента удаленного администрирования.

Содержание

Хотя Deep Instinct не удалось проверить механизм распространения новой кампании, скорее всего, она начинается с фишингового письма, аналогичного предыдущим кампаниям.

Содержание письма заставляет жертву загрузить архив, размещенный по адресу "a.storyblok[.]com".

Компания MuddyWater продолжает атаковать израильские объекты в рамках различных кампаний. В этой кампании MuddyWater использует обновленные ТТП. Среди них - новый публичный хостинг, использование LNK-файла для инициирования заражения, а также использование промежуточного вредоносного ПО, имитирующего открытие каталога и запускающего новый инструмент удаленного администрирования.

После заражения жертвы оператор MuddyWater подключается к зараженному хосту с помощью легитимного инструмента удаленного администрирования и начинает проводить разведку объекта.

После завершения этапа разведки оператор, скорее всего, выполнит код PowerShell, который заставит зараженный хост маячить на пользовательском C2-сервере.

В прошлом компания MuddyWater уже использовала PhonyC2. Однако недавно компания Deep Instinct заметила, что MuddyWater использует новый C2-фреймворк под названием MuddyC2Go.

Indicators of Compromise

IPv4

103.73.65.129
103.73.65.225
103.73.65.244
103.73.65.246
103.73.65.253
109.201.140.103
137.74.131.16
137.74.131.18
137.74.131.20
137.74.131.24
137.74.131.25
137.74.131.30
141.95.177.130
146.70.124.102
146.70.149.61
157.90.152.26
157.90.153.60
162.223.89.11
164.132.237.65
164.132.237.67
164.132.237.79
178.32.30.3
185.248.144.158
185.254.37.173
194.61.121.86
195.20.17.44
37.120.237.204
37.120.237.248
45.132.75.101
45.150.64.23
45.150.64.239
45.150.64.39
45.159.248.244
45.67.230.91
45.86.230.20
46.249.35.243
51.255.19.178
65.21.183.238
87.236.212.22
91.121.240.104
91.121.240.108
91.121.61.76
91.235.234.130
94.131.109.65
94.131.98.14
95.164.38.99
95.164.46.35

Domains

a.storyblok.com
cdnpakage.com
criticimfreedom.site
edc1.6nc051221c.co
europetourtravels.link
europetourtravels.world
fastanalizer.live
fastanalytics.live
ghostrider.serveirc.com
instructables.live
jbf1.nc1310022a.biz
kwd1.6nc220721.co
kwd2.6nc220721.co
kwd3.6nc220721.co
login.microsoftonilne.com.oauth2.online
loginlive.formsmicrosoftoffice.com.oauth2.live
mbcaction.hopto.org
megamodel.studio
mentalfloss.live
metatransfer.online
microsoftfice.ddns.net
msofficesign.com
myfridgefood.live
nirsoft.app
nirsoft.ink
nno1.6nc060821.co
nno3.6nc060821.co
oauth2.live
oauth2.online
outlookmicrosoftonline.com
prostatistics.live
pru1.6nc110821hdb.co
pru2.6nc110821hdb.co
qjk1.6nc051221c.co
qjk2.6nc051221c.co
qjk3.6nc051221c.co
tes2.6nc051221a.co
transportorganizationil.shop

URLs

a.storyblok.com/f/253959/x/b92ea48421/form.zip
a.storyblok.com/f/255988/x/5e0186f61d/questionnaire.zip
a.storyblok.com/f/259791/x/91e2f5fa2f/attachments.zip
a.storyblok.com/f/259791/x/94f59e378f/questionnaire.zip
a.storyblok.com/f/259837/x/21e6a04837/defense-video.zip
ws.onehub.com/files/7f9dxtt6

MD5

04afff1465a223a806774104b652a4f0
065f0871b6025b8e61f35a188bca1d5c
146cc3a1a68be349e70b79f9115c496b
16923d827a440161217fb66a04e8b40a
1f0b9aed4b2c8d958a9b396852a62c9d
22971759adf816c6fb43104c0e1d89d6
245c3ed373727c21ad9ee862b767e362
2e09e53135376258a03b7d793706b70f
34212eb9e2af84eceb6a8234d28751b6
37c3f5b3c814e2c014abc1210e8e69a2
39eea24572c14910b67242a16e24b768
3c6486dfb691fc6642f1d35bdf247b90
4a70b1e4cb57c99502d89cdbbed48343
55b99af81610eb65aabea796130a0462
57641ce5af4482038c9ea27afcc087ee
5e0cc23a6406930a40696594021edb5f
6167f03c8b2734c20eb02d406d3ba651
7568062ad4b22963f3930205d1a14df7
79a638b2f2cc82bfe137f1d12534cda5
8d2199fa11c6a8d95c1c2b4add70373a
952cc4e278051e349e870aa80babc755
9894b84916f9264d897fe3b4a83bc608
9957250940377b39e405114f0a2fe84b
b867ec1cef6b1618a21853fb8cafd6e1
d3a2dee3bb8fcd8e8a0d404e7d1e6efb
d7ca8f3b5e21ed56abf32ac7cb158a7e
db0e68d7d81f5c21e6e458445fd6e34b
dbcc0e9c1c6c1fff790caa0b2ffc2fe5
dd247ccd7cc3a13e1c72bb01cf3a816d
e07adc4ee768126dc7c7339f4cb00120
e8f3ecc0456fcbbb029b1c27dc1faad0
f08aa714fd59b68924843cbfddac4b15
fc523904ca6e191eb2fdb254a6225577
feede05ba166a3c8668fe580a3399d8f

SHA256

0ec131ca6fae327202577473137462086b3ce3130896fd8d8db69247ac720f04
1a996d98ab897bbc3a0249ea43afaf841b31396be7cbe61b443a58d1c9aab071
1c95496da95ccb39d73dbbdf9088b57347f2c91cf79271ed4fe1e5da3e0e542a
26881615e121584b8814916d2f0228de97439cf6b654fca58b2228ff893fcfbc
2f14ce9e4e8b1808393ad090289b5fa287269a878bbb406b6930a6c575d1f736
32c40964f75c3e7b81596d421b5cefd0ac328e01370d0721d7bfac86a2e98827
3e3effa0388f362e891ccf6f9169f9fb9627698bea5fefa57084353603502886
528f4d63c5abcfd137569e2dda49b5730432fb189ef2263cd6e7222cbb6ccb75
5ca26988b37e8998e803a95e4e7e3102fed16e99353d040a5b22aa7e07438fea
7bf2aaf5f82ba5ed834b6ee270e4a7326a191985ea6cc27bdaba17816d1f2ca9
7cb0cc6800772e240a12d1b87f9b7561412f44f01f6bb38829e84acbc8353b9c
87ccd1c15adc9ba952a07cd89295e0411b72cd4653b168f9b3f26c7a88d19b91
91526246682b47e5f4e396130f2ff93943fbdcaf742262345fb35ae950f1d2b2
92687d1f47244d3a1d7b02fbccf389b9819fd7cc3a31036ae30c2d4d88a3f266
989373f2d295ba1b8750fee7cdc54820aa0cb42321cec269271f0020fa5ea006
9fcb7dea92ad0fe5fa6d6a5a5bd47caea5d3bc44aee247a001fcefdc56500111
b38d036bbe2d902724db04123c87aeea663c8ac4c877145ce8610618d8e6571f
b4b3c3ee293046e2f670026a253dc39e863037b9474774ead6757fe27b0b63c1
cc7120942edde86e480a961fceff66783e71958684ad1307ffbe0e97070fd4fd
d3677394cb45b0eb7a7f563d2032088a8a10e12048ad74bae5fd9482f0aead01
ebf2ec38ed0c4cd05aaae1bdb4af862294d8bd874f7830c42f6905e94de239cf