Lumma Stealer IOCs - Part 4

Spyware IOC

Разведка CrowdStrike обнаружила фишинговый домен, который выдает себя за CrowdStrike и доставляет вредоносные ZIP- и RAR-файлы, которые в конечном итоге запускают Lumma Stealer, упакованный в CypherIt.

Lumma Stealer

Кампания, вероятно, связана с кампанией по распространению Lumma Stealer в июне 2024 года, в ходе которой злоумышленник использовал передовые методы социальной инженерии, такие как рассылка спама и голосовой фишинг (вишинг), для доставки вредоносных двоичных файлов.

Загрузчик MSI отображает установку-приманку, а после ее выполнения извлекает и исполняет самораспаковывающийся RAR-файл (SFX) plenrco.exe с командной строкой plenrco.exe -pqwerty2023 -s1. При этом извлекается другой архивный файл RAR SFX, хранящийся в PE-оверлее plenrco.exe. Архив RAR содержит программу установки Nullsoft Scriptable Install System (NSIS) с именем SymposiumTaiwan.exe. Программа установки NSIS содержит фрагменты легитимного исполняемого файла AutoIt и скомпилированный сценарий AutoIt. NSIS также содержит загрузчик пакетных сценариев под названием Open.cmd, который содержит бесполезный код, скрывающий реальную функциональность. Конечная полезная нагрузка зашифрована в RC4 и сжата в LZNT1, в результате чего получается образец Lumma Stealer.

Декомпилированный AutoIt-скрипт представляет собой загрузчик CypherIt, который сильно обфусцирован, чтобы затруднить статический анализ. Загрузчик реализует обфускацию строк и завершает работу при выполнении определенных проверок, таких как определенные имена хостов или запущенные антивирусные процессы. Загрузчик AutoIt содержит два шеллкода для 32- и 64-битных систем, реализующих алгоритм RC4 для расшифровки конечной полезной нагрузки, которая также жестко закодирована в загрузчике AutoIt. Конечная полезная нагрузка представляет собой исполняемый файл Lumma Stealer, который связывается с командно-контрольным (C2) сервером, включенным в IOCs на момент анализа. Кроме того, тот же домен C2, выявленный в ходе этой активности, был замечен в недавней широкомасштабной оппортунистической спам-рассылке и кампании голосового фишинга (vishing) в июне 2024 года. Основываясь на общей инфраструктуре этих кампаний и очевидной направленности на корпоративные сети, CrowdStrike Intelligence с умеренной уверенностью считает, что эта активность, скорее всего, связана с одним и тем же неназванным злоумышленником.

Indicators of Compromise

Domains

  • callosallsaospz.shop
  • crowdstrike-office365.com
  • iiaiyitre.pa
  • indexterityszcoxp.shop
  • lariatedzugspd.shop
  • liernessfornicsa.shop
  • outpointsozp.shop
  • shepherdlyopzc.shop
  • unseaffarignsk.shop
  • upknittsoappz.shop
  • warrantelespsz.shop

URLs

  • https://crowdstrike-office365.com/go.microsoft.crowdstrike-office365.com/download.html

SHA256

  • 1e06ef09d9e487fd54dbb70784898bff5c3ee25d87f468c9c5d0dfb8948fb45c
  • 280900902df7bb855b27614884b369e5e0da25ff22efacc59443a4f593ccd145
  • 2856b7d3948dfb5231056e52437257757839880732849c2e2a35de3103c64768
  • 3ed535bbcd9d4980ec8bc60cd64804e9c9617b7d88723d3b05e6ad35821c3fe7
  • 50f9c384443a40d15a6e74960f1ba75dcf741eabdb5713bd2eba453a6aad81e5
  • 56f2aedb86d26da157b178203cec09faff26e659f6f2be916597c9dd4825d69f
  • 6217436a326d1abcd78a838d60ab5de1fee8a62cda9f0d49116f9c36dc29d6fa
  • 66ad1c04ebb970f2494f2f30b45d6a83c2f3a2bb663565899f57bb5422851518
  • 6ec39c6eee15805ef3098af7ae172517a279b042fc6c323ebf1aef8f8f2b21be
  • 922b1f00115dfac831078bb5e5571640e95dbd0d6d4022186e5aa4165082c6b2
  • a992cee863a4668698af92b4f9bd427d7a827996bf09824b89beff21578b49bd
  • aca54f9f5398342566e02470854aff48c53659be0c0cb83d3ce1fd05430375f8
  • b5c0610bc01cfc3dafc9c976cb00fe7240430f0d03ec5e112a0b3f153f93b49a
  • bb7a19963b422ed31b0b942eeaad7388421bc270a8513337f8ec043a84a4f11c
  • c1e27b2e7db4fba9f011317ff86b0d638fe720b945e933b286bb3cf6cdb60b6f
  • c3e50ca693f88678d1a6e05c870f605d18ad2ce5cfec6064b7b2fe81716d40b0
  • d669078a7cdcf71fb3f2c077d43f7f9c9fdbdb9af6f4d454d23a718c6286302a
  • e6b00ee585b008f110829df68c01a62d3bfac1ffe7d65298c8a4e4109b8a7319
  • e9cd2429628e3955dd1f7c714fbaa3e3b85bfaac0bc31582cf9c5232cb8fc352
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий