Trickbot Group IOCs

security IOC

С середины апреля по середину июня 2022 года группа Trickbot, отслеживаемая X-Force как ITG23 и также известная как Wizard Spider, DEV-0193 и Conti group, провела как минимум шесть кампаний - две из которых были обнаружены X-Force - против Украины, в ходе которых они использовали IcedID, CobaltStrike, AnchorMail и Meterpreter.

Trickbot Group

Кампании ITG23 против Украины примечательны тем, что эта деятельность отличается от исторических прецедентов, а также тем, что эти кампании были направлены именно на Украину, а некоторые полезные нагрузки предполагают более высокую степень выбора цели.

ITG23 - финансово мотивированная киберпреступная группировка, известная в первую очередь разработкой банковского троянца Trickbot, который был впервые обнаружен в 2016 году; с тех пор группировка использовала его полезную нагрузку, чтобы закрепиться в среде жертв для атак с использованием программ-выкупов, включая Ryuk, Conti и Diavol. Систематические атаки, наблюдаемые против Украины, включают в себя зарегистрированные и предполагаемые фишинговые атаки на украинские государственные органы, украинских граждан и организации, а также население в целом. Успешные атаки, приведшие к краже данных или вымогательству выкупа, предоставят ITG23 дополнительные возможности для вымогательства, а особенно разрушительные атаки могут нанести ущерб экономике Украины.

В ходе расследования этих кампаний аналитики X-Force также обнаружили новые вредоносные программы и инструменты, используемые ITG23: вредоносный загрузчик Excel, используемый для доставки полезной нагрузки, самораспаковывающийся архив (SFX), предназначенный для сброса и сборки полезной нагрузки ITG23, такой как AnchorMail, и криптер вредоносного ПО, который X-Force окрестила "Forest". Примечательно, что криптер Forest также использовался с вредоносным ПО Bumblebee, что является дополнительным доказательством того, что за Bumblebee стоит ITG23.

Аналитики X-Force исследовали как минимум шесть кампаний ITG23, направленных на Украину, которые проводились в период с середины апреля по середину июня. Четыре из этих кампаний были раскрыты CERT-UA, который отслеживает их под групповым именем UAC-0098.

По результатам анализа этих кампаний, X-Force считает:

  • ITG23 сама контролирует доставку электронных писем и вредоносного ПО - т.е. они не выполняются независимыми филиалами по распространению. Ни одна из этих кампаний не соответствует методам, которые используют известные сторонние филиалы ITG23 для доставки полезной нагрузки своим целям. В 2021 году аналитики X-Force отследили несколько кампаний, которые, вероятно, были проведены непосредственно сотрудниками ITG23.
  • Три из шести кампаний используют вредоносный загрузчик Excel, который не был замечен в других кампаниях.
  • В двух кампаниях для распространения полезной нагрузки используются файлы образов ISO; эти файлы ISO, вероятно, созданы бутиковым разработчиком ISO, который поставлял предыдущие кампании с полезной нагрузкой ITG23.
  • Пять из шести кампаний напрямую загружают CobaltStrike, Meterpreter или AnchorMail на целевую машину. Обычно эти полезные нагрузки загружаются позже во время заражения вредоносными программами, такими как Trickbot, Emotet или IcedID, что позволяет предположить, что эти атаки являются частью целевых кампаний, в ходе которых ITG23 готова сразу же развернуть более ценные бэкдоры.
  • Полезные нагрузки CobaltStrike и IcedID, которые использовались в четырех из шести кампаний, все используют крипторы Tron, Hexa или Forest компании ITG23. Присутствие криптера ITG23 в образце является сильным признаком того, что его разработчик, дистрибьютор или оператор может быть частью ITG23 или иметь партнерские отношения с этой группой. Криптеры - это приложения, предназначенные для шифрования и обфускации вредоносных программ, чтобы избежать анализа антивирусными сканерами и аналитиками вредоносных программ.

Indicators of Compromise

Domains

  • ertimadifa.com
  • rivertimad.com

URLs

  • http://138.68.229.0/pe.dll
  • http://168.100.8.42/cr.exe
  • http://168.100.8.42/list.exe
  • http://168.100.8.42/micro.exe
  • http://168.100.8.42/spisok.exe
  • http://193.149.176.172/atachment.exe
  • http://5.199.173.152/ked.dll
  • http://64.190.113.51:8000/
  • http://66.150.66.167/asm1.dll
  • http://66.150.66.167/su.dll
  • https://baidenfree.com/jquery-3.3.1.min.js
  • https://dezword.com:443/apiv8/getStatus
  • https://farenge.com/jquery-3.3.1.min.js
  • https://lviv.uz.ua/Nuclear.xls

MD5

  • 3aa6bf4ed8c485717d767013d43f7cdb
  • 47f29e3b0fe89968ddb9517fd2378115
  • 5b4deca6a14eb777fdd882a712006303
  • 5e0c898c1719e87098ec162bbe9cb804
  • 60b66414e86cbd63341c669b756dc749
  • 877f834e8788d05b625ba639b9318512
  • 9f33887a8e76c246753e71b896a904b3
  • b12fce712eeaf19f3982c9d6d3b1496c
  • bde692781f0e8bddad3bc5e0c7db62db
  • bdfca142fc1408ab2028019775a95a8a
  • dcff74d381b84b0fd6f777af08bb21c4
  • e2775ae56975427a71c737d6b7595f59
  • edfd64119648cc41266f4bd70bf3a7de
  • fe91a76235e0ed82f8439a694da2815f

SHA256

  • 08d30d6646117cd96320447042fb3857b4f82d80a92f31ee91b16044b87929c0
  • 1b889f984f25b493c41a30fae0ade4c689f094b412953a8b033ebf44ae70d160
  • 1f3c5dd0a79323c57ad194a49eebaaf2f624822df401995e51a4c58b5a607a45
  • 3622d825b2d8a5f280597459983f50dc0cad642cff0008f6f535d23173c4f953
  • 394cbab9eb87ef8ee795d184137ac2634b22a0a3e642534a55c1623a813c8a59
  • 3f3f12bb3490cd5ff4b742229ae35cacb81dc1608d4b2ed2a1b0fcdc398ef605
  • 5447b315d682df9a20105310a7c0dbd3874e8aaae78549d78b27987fff2c0d50
  • 55df2954add86715fc3d728459d79a6d2b88d34d9f23fafe9c5a573bb773d9e9
  • 65b208943d8cf82af902c39400bdd7a26fdbc94c23f9d4494cf0a2ca51233213
  • 7d53782fab972b8b70c6c7134598da25fd125c58c88a6d468464cee6c9dbe764
  • 865fadf4aadd58cac4909de95fb5f4c1a9b194b9e1f84973b4266c9a464d196b
  • 89e052bd182df8de5960784c663f962d44e058c8920a437f54ab75d03a7da3bd
  • 8f7e3471c1bb2b264d1b8f298e7b7648dac84ffd8fb2125f3b2566353128e127
  • 9082c327ecf9c7bd9bd98c62a82e235165e8e11272998b63a66771da49be75f0
  • 9990fe0d8aac0b4a6040d5979afd822c2212d9aec2b90e5d10c0b15dee8d61b1
  • a53bd5a0fd1c8d0740ce7fd4d1609348a16239fff3371ac06c08ac6daa3e9228
  • aa8de6a526ad97a967874ac6b2fb347b8f444dd126e7f7b3838a6822a7298c30
  • ac1d19c5942946f9eee6bc748dee032b97eb3ec3e4bb64fead3e5ac101fb1bc8
  • bc6898f0e66582ab92307809a409797749b49948fc265767579b224755b0a17b
  • c129a8bf28d476a7280535f0ce192769d8cb1fa519bab306ff506c08cbcf7436
  • ca9da17b4b24bb5b24cc4274cc7040525092dffdaa5922f4a381e5e21ebf33aa
  • de7bcc556dde40d347b003d891f36c2a733131593ce2b9382f0bd9ade123d54a
  • ea9dae45f81fe3527c62ad7b84b03d19629014b1a0e346b6aa933e52b0929d8a
  • f4680ee5f8f449b454802e633f3cf28d9640db7dddb7fabaf812c55d65f0e7ad
SEC-1275-1
Добавить комментарий