COOKBOX Backdoor IOCs

security IOC
Опубликовано

CERT-UA во взаимодействии с Центром кибернетической безопасности информационно-телекоммуникационных систем воинской части А0334 (ЦКБ ИТС в/ч А0334) приняты меры по исследованию целенаправленной кибератаки, которая заключалась в попытке поражения вредоносным программным обеспечением ЭВМ представителей Сил обороны Украины.

COOKBOX

22.02.2024 неустановленным лицом с помощью мессенджера Signal среди нескольких военнослужащих распространен XLS-документ "1_ф_5.39-2024.xlsm" с сообщением о, якобы, проблемах с формированием отчетности. Кроме легитимного макроса, упомянутый документ содержал дополнительный программный VBA-код, который обеспечивал запуск PowerShell-команды, предназначенной для загрузки, декодирования и выполнения PowerShell-сценария "mob2002.data".

Загруженный с Github PowerShell-скрипт осуществляет модификацию реестра операционной системы, в частности:

  • запись основного пейлоада в base64-кодированном виде в ветку "HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache" (значения: "db1"... "db27")
  • запись декодера-лаунчера в base64-кодированном виде в ветку "HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache" (значение: "db")
  • создание ключа 'xbox' в ветке автозапуска 'Run' со значением в виде PowerShell-команды "cmd /c start /min "" powershell -windowStyle hidden -c(powershell -windowStyle hidden -enC(gpv -Name 'db' -Path 'HKCU:\SOFTWARE\Microsoft\XboxCache'))", предназначенной для запуска декодера, который обеспечит выполнение основного пейлоада

Указанный выше основной пейлоад, после декодирования, содержит очередной PowerShell-скрипт, который осуществит GZIP-декомпрессию и запуск вредоносной программы COOKBOX.

COOKBOX - PowerShell-сценарий, реализующий функционал загрузки и выполнения PowerShell-командлетов. Для каждой пораженной ЭВМ вычисляется уникальный идентификатор с использованием криптографических преобразований (хеш-функций SHA256/MD5) на основе комбинации значений имени компьютера и серийного номера диска, который, при взаимодействии с сервером управления, передается в заголовке "X-Cookie" HTTP-запросов. Персистентность бэкдора обеспечивается соответствующим ключом в ветке Run реестра операционной системы (ОС), который создается на этапе первичного поражения сторонним PowerShell-скриптом (в т.ч., COOKBOX deployer'ом). Обычно, в программном коде используются элементы обфускации: chr-кодирование символов, замена символов (replace()), base64-преобразование, GZIP-компрессия.

Для функционирования инфраструктуры серверов управления используются сервисы динамического DNS (например, gotdns.ch, myftp.biz) и Cloudflare Workers.

Indicators of Compromise

IPv4

  • 34.199.8.144

Domains

  • array.myftp.biz
  • bom02.gotdns.ch
  • worker-test-6f41.idv64828.workers.dev

URLs

  • http://array.myftp.biz
  • http://bom02.gotdns.ch
  • http://worker-test-6f41.idv64828.workers.dev
  • https://github.com/kekpelmeshek/testdatasearch/raw/main/mob2002.data
  • https://raw.githubusercontent.com/kekpelmeshek/testdatasearch/main/mob2002.data
  • https://shorturl.at/uvcpv

MD5

  • 0ff0c9228a98dd55a4ab51ade7bfe10e
  • 32091993b1a864ec259429880d4c2809
  • 3d33bcef89039dba97ef243cc193d8a7
  • 52ee3c6259c5aa85ece1037f7d76fd73
  • 5d9ab0fba328c0fb07f1ee1794c702ef
  • 6854d326b3756b92708b5658b2a3313a
  • 9654451a766b27fb9e678d47094d7dd7
  • a32eebda67c5de1402b539e4ae51a37b
  • ba1f2511fc30423bdbb183fe33f3dd0f
  • c2a31573662e0b608f8c83016490822c
  • c4055568bcedad91df2ac5616395a823
  • df167cd8a13e75585c5aecb6e57a4326
  • f4efa1840c2fb39ebf8d6b1325617b3c

SHA256

  • 181210f8f9c779c26da1d9b2075bde0127302ee0e3fca38c9a83f5b1dd8e5d3b
  • 1f2057b60a31708fb397c6b27539d8643ae0e8d87cb26cb0256411da14d98c67
  • 3293f76da5fa85d4a2b76a0eab30f11e4d61b81e8b4ad14efffa027d8d5f8aee
  • 383023689bb2af75da5337ae864dd430086e2d7d7855a65b25f7682c344e082b
  • 5b2cbeec241ea3ce083e2adab5878f8ea982084f9a7674714cd4627f118c182d
  • 7bf2288b72775b7dc4b992d17b5dcbc0d6d6a6b1a049c3ec725b1d1f299bb88a
  • 894cd78af8e3ccf3bd19515bb2b60434012fcdaad896d9fde9d49eaa98866eef
  • 9309c2833242182b592d253fcb19c15c625425f614bdd614d1ffbb54f5c25f9a
  • c630b95cee017b3d2536074ead8278e5415a3e6ff9dc21cd88c59d5d3a11c6dc
  • d80526421527f63d3b7fdf60b980b31871526c905f9d6d0f4f3c1073b42773ba
  • e3b916c2bd7c09a9ecb3737be615b8f4560f1bde495506e3ff67b839a65054b9
  • f0b356b8485b2656da8ae4ecd13b64166da3c446bc0be124aad216b8688aa618
  • fd791cae012145402c8fb903fbe29a91f56cd1c0a3e98203241701dc5f456d83

 

Похожие записи:
  1. RomCom Backdoor IOCs
  2. LOGPIE Keylogger и CHERRYSPY Backdoor IOCs
  3. TURLA APT IOCs - Part 3
  4. DIRTYMOE (PurpleFox) Malware IOCs
  5. Bvp47 Backdoor IOCs
Backdoor CERT-UA COOKBOX
Добавить комментарий