CERT-AGID обнаружил распространение вредоносной программы AgentTesla в Италии.
Кампания продолжается уже около девяти месяцев и основывается на новых итальянских компаниях с ограниченной ответственностью. Письма, содержащие вложения в формате .ZIP или .Z, содержат исполняемый файл .EXE или файл .SRC. Злоумышленники также использовали командно-контрольный сервер (C2), который несколько раз был выявлен CERT-AGID. Они повторно используют этот сервер, вероятно, чтобы обмануть защитные системы. Начальный загрузчик меняется с каждой новой итерацией, а их расшифровка выполняется с помощью алгоритма AES или Triple DES. Для расшифровки начальной фазы был использован рецепт CyberChef. Окончательный загрузчик, используемый в AgentTesla, - это проект с открытым исходным кодом, называемый Costura, который загружает полезную нагрузку в память во время выполнения.
Indicators of Compromise
Domains
- gator3220.hostgator.com
URLs
- http://filetransfer.io/data-package/EN1H0b0j/download
- https://s22.filetransfer.io/storage/download/0HrIh4OdCdve
MD5
- 1989b73ade13255f90cb9fc64a5a4ec7
- 3b9df1a72f00adf98ae6b7fb83a2b4d2
- a3d184397aaf2c86952ed6bd6d7c156d
SHA1
- 169779697c87750190e8380fe042f75935a4273a
- 356df8951d5c9771ba523a42e0d89fbeee661f24
- 94376cd6ce32803566dcfc6b6652ecab6401e82c
SHA256
- 538cc397a171cc8916b273fc2f6407b5c561f30b160d0e00f43876438ddb9193
- 901d12237c381a3a188e151343ecc181c7d0f4983f33ae5ee66fc2dccf1d4c4f
- d3ea64ad7250d31bd2bc73eb1de0826821438aa02f9028c516245d68ea15e879