30 октября компания Deep Instinct обнаружила два архива, размещенных на "Сториблоке", содержащих новый многоступенчатый вектор заражения. Он содержит скрытые файлы, LNK-файл, инициирующий заражение, и исполняемый файл, предназначенный для раскрытия документа-обманки и запуска Advanced Monitoring Agent, инструмента удаленного администрирования.
Хотя Deep Instinct не удалось проверить механизм распространения новой кампании, скорее всего, она начинается с фишингового письма, аналогичного предыдущим кампаниям.
Содержание письма заставляет жертву загрузить архив, размещенный по адресу "a.storyblok[.]com".
Компания MuddyWater продолжает атаковать израильские объекты в рамках различных кампаний. В этой кампании MuddyWater использует обновленные ТТП. Среди них - новый публичный хостинг, использование LNK-файла для инициирования заражения, а также использование промежуточного вредоносного ПО, имитирующего открытие каталога и запускающего новый инструмент удаленного администрирования.
После заражения жертвы оператор MuddyWater подключается к зараженному хосту с помощью легитимного инструмента удаленного администрирования и начинает проводить разведку объекта.
После завершения этапа разведки оператор, скорее всего, выполнит код PowerShell, который заставит зараженный хост маячить на пользовательском C2-сервере.
В прошлом компания MuddyWater уже использовала PhonyC2. Однако недавно компания Deep Instinct заметила, что MuddyWater использует новый C2-фреймворк под названием MuddyC2Go.
Indicators of Compromise
IPv4
- 103.73.65.129
- 103.73.65.225
- 103.73.65.244
- 103.73.65.246
- 103.73.65.253
- 109.201.140.103
- 137.74.131.16
- 137.74.131.18
- 137.74.131.20
- 137.74.131.24
- 137.74.131.25
- 137.74.131.30
- 141.95.177.130
- 146.70.124.102
- 146.70.149.61
- 157.90.152.26
- 157.90.153.60
- 162.223.89.11
- 164.132.237.65
- 164.132.237.67
- 164.132.237.79
- 178.32.30.3
- 185.248.144.158
- 185.254.37.173
- 194.61.121.86
- 195.20.17.44
- 37.120.237.204
- 37.120.237.248
- 45.132.75.101
- 45.150.64.23
- 45.150.64.239
- 45.150.64.39
- 45.159.248.244
- 45.67.230.91
- 45.86.230.20
- 46.249.35.243
- 51.255.19.178
- 65.21.183.238
- 87.236.212.22
- 91.121.240.104
- 91.121.240.108
- 91.121.61.76
- 91.235.234.130
- 94.131.109.65
- 94.131.98.14
- 95.164.38.99
- 95.164.46.35
Domains
- a.storyblok.com
- cdnpakage.com
- criticimfreedom.site
- edc1.6nc051221c.co
- europetourtravels.link
- europetourtravels.world
- fastanalizer.live
- fastanalytics.live
- ghostrider.serveirc.com
- instructables.live
- jbf1.nc1310022a.biz
- kwd1.6nc220721.co
- kwd2.6nc220721.co
- kwd3.6nc220721.co
- login.microsoftonilne.com.oauth2.online
- loginlive.formsmicrosoftoffice.com.oauth2.live
- mbcaction.hopto.org
- megamodel.studio
- mentalfloss.live
- metatransfer.online
- microsoftfice.ddns.net
- msofficesign.com
- myfridgefood.live
- nirsoft.app
- nirsoft.ink
- nno1.6nc060821.co
- nno3.6nc060821.co
- oauth2.live
- oauth2.online
- outlookmicrosoftonline.com
- prostatistics.live
- pru1.6nc110821hdb.co
- pru2.6nc110821hdb.co
- qjk1.6nc051221c.co
- qjk2.6nc051221c.co
- qjk3.6nc051221c.co
- tes2.6nc051221a.co
- transportorganizationil.shop
URLs
- a.storyblok.com/f/253959/x/b92ea48421/form.zip
- a.storyblok.com/f/255988/x/5e0186f61d/questionnaire.zip
- a.storyblok.com/f/259791/x/91e2f5fa2f/attachments.zip
- a.storyblok.com/f/259791/x/94f59e378f/questionnaire.zip
- a.storyblok.com/f/259837/x/21e6a04837/defense-video.zip
- ws.onehub.com/files/7f9dxtt6
MD5
- 04afff1465a223a806774104b652a4f0
- 065f0871b6025b8e61f35a188bca1d5c
- 146cc3a1a68be349e70b79f9115c496b
- 16923d827a440161217fb66a04e8b40a
- 1f0b9aed4b2c8d958a9b396852a62c9d
- 22971759adf816c6fb43104c0e1d89d6
- 245c3ed373727c21ad9ee862b767e362
- 2e09e53135376258a03b7d793706b70f
- 34212eb9e2af84eceb6a8234d28751b6
- 37c3f5b3c814e2c014abc1210e8e69a2
- 39eea24572c14910b67242a16e24b768
- 3c6486dfb691fc6642f1d35bdf247b90
- 4a70b1e4cb57c99502d89cdbbed48343
- 55b99af81610eb65aabea796130a0462
- 57641ce5af4482038c9ea27afcc087ee
- 5e0cc23a6406930a40696594021edb5f
- 6167f03c8b2734c20eb02d406d3ba651
- 7568062ad4b22963f3930205d1a14df7
- 79a638b2f2cc82bfe137f1d12534cda5
- 8d2199fa11c6a8d95c1c2b4add70373a
- 952cc4e278051e349e870aa80babc755
- 9894b84916f9264d897fe3b4a83bc608
- 9957250940377b39e405114f0a2fe84b
- b867ec1cef6b1618a21853fb8cafd6e1
- d3a2dee3bb8fcd8e8a0d404e7d1e6efb
- d7ca8f3b5e21ed56abf32ac7cb158a7e
- db0e68d7d81f5c21e6e458445fd6e34b
- dbcc0e9c1c6c1fff790caa0b2ffc2fe5
- dd247ccd7cc3a13e1c72bb01cf3a816d
- e07adc4ee768126dc7c7339f4cb00120
- e8f3ecc0456fcbbb029b1c27dc1faad0
- f08aa714fd59b68924843cbfddac4b15
- fc523904ca6e191eb2fdb254a6225577
- feede05ba166a3c8668fe580a3399d8f
SHA256
- 0ec131ca6fae327202577473137462086b3ce3130896fd8d8db69247ac720f04
- 1a996d98ab897bbc3a0249ea43afaf841b31396be7cbe61b443a58d1c9aab071
- 1c95496da95ccb39d73dbbdf9088b57347f2c91cf79271ed4fe1e5da3e0e542a
- 26881615e121584b8814916d2f0228de97439cf6b654fca58b2228ff893fcfbc
- 2f14ce9e4e8b1808393ad090289b5fa287269a878bbb406b6930a6c575d1f736
- 32c40964f75c3e7b81596d421b5cefd0ac328e01370d0721d7bfac86a2e98827
- 3e3effa0388f362e891ccf6f9169f9fb9627698bea5fefa57084353603502886
- 528f4d63c5abcfd137569e2dda49b5730432fb189ef2263cd6e7222cbb6ccb75
- 5ca26988b37e8998e803a95e4e7e3102fed16e99353d040a5b22aa7e07438fea
- 7bf2aaf5f82ba5ed834b6ee270e4a7326a191985ea6cc27bdaba17816d1f2ca9
- 7cb0cc6800772e240a12d1b87f9b7561412f44f01f6bb38829e84acbc8353b9c
- 87ccd1c15adc9ba952a07cd89295e0411b72cd4653b168f9b3f26c7a88d19b91
- 91526246682b47e5f4e396130f2ff93943fbdcaf742262345fb35ae950f1d2b2
- 92687d1f47244d3a1d7b02fbccf389b9819fd7cc3a31036ae30c2d4d88a3f266
- 989373f2d295ba1b8750fee7cdc54820aa0cb42321cec269271f0020fa5ea006
- 9fcb7dea92ad0fe5fa6d6a5a5bd47caea5d3bc44aee247a001fcefdc56500111
- b38d036bbe2d902724db04123c87aeea663c8ac4c877145ce8610618d8e6571f
- b4b3c3ee293046e2f670026a253dc39e863037b9474774ead6757fe27b0b63c1
- cc7120942edde86e480a961fceff66783e71958684ad1307ffbe0e97070fd4fd
- d3677394cb45b0eb7a7f563d2032088a8a10e12048ad74bae5fd9482f0aead01
- ebf2ec38ed0c4cd05aaae1bdb4af862294d8bd874f7830c42f6905e94de239cf