Атакующий использует взломанные учетные записи и индивидуальную социальную инженерию для рассылки вредоносного ПО транспортным и логистическим компаниям

security IOC

Исследователи компании Proofpoint обнаружили кампанию кибератак, направленную на транспортные и логистические компании в Северной Америке.

Злоумышленники используют взломанные легитимные учетные записи электронной почты этих компаний, внедряя вредоносное ПО в текущие электронные разговоры, чтобы вредоносные сообщения выглядели подлинными. Эта кампания, активная с мая 2024 года, сначала поставляла такие вредоносные программы, как Lumma Stealer, StealC и NetSupport. В августе 2024 года злоумышленник сменил тактику, изменив инфраструктуру и добавив новые вредоносные программы, такие как DanaBot и Arechclient2.

Злоумышленники обычно используют URL-адреса Google Drive или вложения файлов с расширением .URL для установки вредоносного ПО через SMB-ресурсы. В августе они представили технику «ClickFix», обманывая пользователей, чтобы те запустили закодированный в Base64 сценарий PowerShell. Кампания специально выдавала себя за программное обеспечение, связанное с транспортом, такое как Samsara и Astra TMS.

Proofpoint не приписывает эту активность известному злоумышленнику, но считает, что злоумышленники являются финансово мотивированными киберпреступниками. Они используют все более реалистичные приманки и взломанные учетные записи электронной почты для повышения вероятности успеха, что повышает риск заражения вредоносным ПО для целевых организаций.

Indicators of Compromise

URLs

  • http://185.217.197.84/file/information_package.exe
  • http://185.217.197.84/file/remittance.exe
  • http://89.23.98.98/file/14242.exe
  • http://89.23.98.98/file/carrier.exe
  • http://89.23.98.98/file/rate_confirmation.vbs
  • http://89.23.98.98/file/ratecon.exe
  • http://89.23.98.98/file/Rateconfirm.exe
  • http://ambcrrm.com/
  • https://ambccm.com/3.msi
  • https://ambccm.com/Astra/index.html
  • https://ambcrrm.com/3.msi
  • https://idessit.com/fn.msi
  • https://live-samsaratrucking.com/true-tracking-32934.html

SHA256

  • 0931217eb498b677e2558fd30d92169cc824914c2df68cfbcff4f642600e2cc2
  • 163dccdcaa7fdde864573f2aabe0b9cb3fdcdc6785f422f5c2ee71ae6c0e413a
  • 199d6f70f10c259ee09e99e6f1d7f127426999a0ed20536f2662842cd12b5431
  • 1a002631b9b2e685aeb51e8b6f4409daf9bc0159cfd54ef9ad3ba69d651ac2a3
  • 2436fe37d25712b68b2e1a9805825bcf5073efb91588c1b5193ba446d1edd319
  • 37f328fc723b2ddf0e7a20b57257cdb29fe9286cb4ffeaac9253cb3b86520235
  • 582c69b52d68b513f2a137bbf14704df7d787b06752333fc31066669cd663d04
  • 8fe96fb9d820db0072fe0423c13d2d05f81a9cf0fdd6f4e2ee78dc4ca1d37618
  • 957fe77d04e04ff69fdaff8ef60ac0de24c9eb5e6186b3187460eac6be561f5d
  • ac49ff207e319f79bbd9c80d044d621920d1340f4c53e5e4da39b2a0c758634e
  • b94bcdf5d6b9f1eb6abe97090993e8c4f66b514dd9c51193f16673e842253d86
  • cdf160c63f61ae834670fdaf040411511dc2fc0246292603e7aa8cd742d78013
  • d45b6b04ac18ef566ac0ecdaf6a1f73d1c3164a845b83e0899c66c608154b93d
  • e5ed1a273faf5174dbd8db9d6d3657b81dc2cbc2e0af28cfe76f41c3d2f2fc37
  • e7526dadae6b589b6a31f1f7e2e528ed1c9edd9f3d1ca88f0ece0dee349d3842
  • f8b12e6d02ea5914e01f95b5665b3a735acfbb9ee6ae27b004af37547bc11e7f
  • fddacfe9e490250e62f7f30b944fcbe122e87547d01c4a906401049304c395f7
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий