В ходе анализа прошлогодних кампаний KrakenLabs обнаружила кампанию, в которой сотни тысяч вредоносных файлов распространялись с помощью техники "вредоносной кассетной бомбы".
Эти выводы были сделаны на основе сообщений о таких вредоносных программах, как Amadey и Redline, и указывали на масштабную, многомесячную кампанию, которая, вероятно, была организована одной группой. Эта группа, получившая название "Unfurling Hemlock", использовала сложную стратегию вложения в сжатые файлы для распространения вредоносного ПО.
Метод заражения включал в себя сжатые файлы с именем "WEXTRACT.EXE.MUI", содержащие слои вложенных друг в друга сжатых файлов, каждый из которых содержал образцы вредоносного ПО. Эта техника привела к распространению по всему миру более 50 000 файлов, в основном содержащих такие крадущие программы, как Redline, RisePro и Mystic Stealer, и такие загрузчики, как Amadey и SmokeLoader. Несмотря на то, что образцы появлялись из разных источников, многие из них были отслежены до хостинговых служб Восточной Европы, что указывает на централизованное происхождение.
Кампания Unfurling Hemlock была нацелена на максимальное увеличение числа заражений и получение финансовой выгоды за счет использования утилит для обфускации вредоносного ПО, отключения средств защиты и повышения успешности заражения. Похоже, что деятельность группы была мотивирована финансовыми соображениями: она использовала широкое распространение вредоносного ПО и возможные партнерские отношения с другими киберпреступниками для реализации схем оплаты за заражение.
Выполнение вредоносных программ происходило в определенном порядке: вложенные файлы распаковывали образцы вредоносного ПО, которые затем последовательно выполнялись для обеспечения максимального эффекта заражения. Этот метод приводил к заражению одной жертвы несколькими штаммами вредоносного ПО, что создавало значительные риски для организаций.
Анализ KrakenLabs включил более 2100 образцов, выявил различные шаблоны и операционные структуры, что подтверждает широкий охват и изощренность кампании. Было отмечено множество способов распространения, включая электронную почту и взломанные веб-сайты, а также выявлено множество командно-контрольных (C2) серверов, связанных с вредоносным ПО.
Основными целями этой кампании были компании и частные учреждения в разных странах, причем значительное количество загруженных образцов было получено из США и Германии. Интересно, что Россия также была заметным источником, несмотря на то, что региональные киберпреступники обычно избегают стран СНГ.
Indicators of Compromise
IPv4 Port Combinations
- 77.91.124.86:19084
URLs
- http://109.107.182.3/love/bongo.exe
- http://109.107.182.3/some/love.exe
- http://109.107.182.45/red/line.exe
- http://185.46.46.146/none/vah50.exe
- http://193.233.255.73/loghub/master
- http://5.42.92.93/i/smo.exe
- http://77.91.124.1/theme/index.php
- http://77.91.124.130/gallery/photo_570.exe
- http://77.91.68.21/nova/foxi.exe
- http://77.91.68.29/fks/
SHA256
- 0c48529d2979698341e89d6ea5f7e9211fa277e40d3f6a55a8996135944ebdad
- 1f224093b9557dd73caaf1c6a823028c286ddd3414bceb0860e0fe084fb8c2ab
- 229e859dda6cc0bc99a395824f4524693bdd0292b4b9c55d06b4fa38279b3ea2
- 301a1c9f4e82fc8f57577ea399a2591557ff57d337472c3f8482a89c5b4105d5
- 35c55b402e770e25adf57ffbd408a428af9ce21a735474b5d94ccdd4123e68f8
- 37b9e74da5fe5e27aaedc25e4aac7678553b6d7d89ec4d99e8b9d0627dcbdc12
- 5697652d0fd5b4a05ac00f6ec028fd3dc3e34ed7b112c4b8c6048eae72a8d326
- 65923603a6f117c7460b8cc69009105208bdfa544b90446580915db8fe127ae8
- 7d18c67c13ec919f3950092319d11eda129c8498e171612e681eebf1c977493d
- 7f101603fbb2821504cf2c71fca0450689dfcd6d1f36e57e27f0392be0f2d1dd
- 80df101f1f93fa53b3dcbc315d3ec5d8c8330c08b5622ac3207f746d016b66dc
- 8fe4d34a6a245c5acd3d1741213c1dd195468089b1a3fe80adfa6d8d8c94f2d8
- be25926929b1aae0257d7f7614dd5ad637b8fd8e139c68f4d717e3dc9913e3cf
- da4f614c983fa226d813de390937389ae4d1e043dd86524aa7a5246fd587826b
- edfb4374d5c586f0690c95ff8cacb36bda6fb4743f20dda5e6f17e7e241edd47
- fd7a9b8e52e2fbcb090d5f5046a73d6e42b421abf063083210889f3fcb47dee0
