Специалисты Antenna CERT обнаружили новую троянскую атаку на майнинг-трояны с использованием мониторинга сетевой безопасности. Этот троянец, известный как "Stash Shovel", появился в ноябре 2023 года и продолжает активно шириться до сих пор. Он обладает высокой степенью скрытности и антианализа, а также способностью перехватывать DLL, внедрять бэкдоры и шеллкоды.
Атака использовала две новые техники противодействия антивирусному программному обеспечению. Первая техника заключалась в злоупотреблении старым драйвером ядра антивирусного ПО для отключения антивируса и системы контроля целостности. Вторая техника использовала службу MSDTC для загрузки DLL-библиотеки бэкдора и создания самозапускающегося бэкдора. Оба метода позволяют трояну Stash Shovel эффективно обходить защитные меры.
Процесс атаки троянца Stash Shovel начинается с загрузки скрипта PowerShell "get.png", который выполняет различные операции, такие как проверка хэша, создание запланированных задач, отключение антивирусного ПО и создание служб. Затем загружается скрипт "kill.png", который расшифровывает код шеллкода и внедряет его в процесс powershell.exe, а также загружает старые драйверы ядра антивирусного ПО для завершения работы антивируса и систем контроля целостности. Также загружается файл "oci.dll", который используется для создания бэкдора для перехвата DLL.
Далее, загружается программа "smartscreen.exe", которая загружает компоненты майнинга и выполняет майнинг. С помощью модуля удаленного управления "backup.png" троянец отправляет сигналы сердцебиения на сервер злоумышленника для получения команд и отправки результатов обратно. Другие модули троянца выполняют различные функции, такие как удаление ненужных файлов, выполнение запланированных задач и т. д.
Анализ образцов и функций показывает, что троянец Stash Shovel использует различные файлы и процессы для своей работы, включая запланированные задачи, файлы исполняемого кода, dll-библиотеки и другие компоненты майнинга.
Indicators of Compromise
IPv4
- 111.90.143.130
- 111.90.158.40
- 93.95.225.137
- 93.95.228.47
Domains
- download.yrnvtklot.com
- ftp.yrnvtklot.com
- online.yrnvtklot.com
- zephyr.herominers.com
URLs
- http://111.90.158.40/backup.png
- http://111.90.158.40/config.json
- http://111.90.158.40/config.txt
- http://111.90.158.40/curl.png
- http://111.90.158.40/drives/delete.png
- http://111.90.158.40/drives/kill.png
- http://111.90.158.40/get.png
- http://111.90.158.40/info.txt
- http://111.90.158.40/kill.png
- http://111.90.158.40/msdtc/64.png
- http://111.90.158.40/msdtc/86.png
- http://111.90.158.40/smartsscreen.png
- http://111.90.158.40/taskhostw.png
- http://111.90.158.40/WinRing0x64.png
- http://93.95.225.137/result
- http://93.95.225.137/update
MD5
- 1801337ff3c1cbec9b97ed0f7b79ac0b
- 271520c83f847743aa6eaccd1b949797
- 851284b85aca7d8e966f3f0dcf9aa33b
- 8d31ae369e67ee0b412d889299f2b4b2
- aa8ffe5d6495afb8515e1b7c27a7a4ac
- ae465af2287d24ccdeec8035a1e3f159
- b9e37dd582a6ff810672f9b33865c217
- c3834835873b9d7d6b9a2436f748aa51
- dc6cd17105168171c27fb167239636e1
- f6f15d525d1c893b996a01e1ea5ccc63
SHA256
- 11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5
- 2b33df9aff7cb99a782b252e8eb65ca49874a112986a1c49cd9971210597a8ae
- 2fe78941d74d35f721556697491a438bf3573094d7ac091b42e4f59ecbd25753
- 35eb368c14ad25e3b1c58579ebaeae71bdd8ef7f9ccecfc00474aa066b32a03f
- 3b2724f3350cb5f017db361bd7aae49a8dbc6faa7506de6a4b8992ef3fd9d7ab
- 3ced0552b9ecf3dfecd14cbcc3a0d246b10595d5048d7f0d4690e26ecccc1150
- 4b5229b3250c8c08b98cb710d6c056144271de099a57ae09f5d2097fc41bd4f1
- 6f3e913c93887a58e64da5070d96dc34d3265f456034446be89167584a0b347e
- 786591953336594473d171e269c3617d7449876993b508daa9b96eedc12ea1ca
- 7c242a08ee2dfd5da8a4c6bc86231985e2c26c7b9931ad0b3ea4723e49ceb1c1
- aac7f8e174ba66d62620bd07613bac1947f996bb96b9627b42910a1db3d3e22b
- cc4384510576131c126db3caca027c5d159d032d33ef90ef30db0daa2a0c4104