Компания ReversingLabs проанализировала три вредоносные полезные нагрузки, циркулирующие в Интернете, которые были связаны с использованием недавно обнаруженного эксплойта Follina в Microsoft's Support Diagnostic Tool (MSDT). Компания ReversingLabs проанализировала три цепочки атак, которые использовали эксплойт Follina, чтобы закрепиться в целевых системах. Исследование ReversingLabs показало, что эксплойт Follina используется для доставки целого ряда распространенных инструментов эксплуатации и персистенции, включая Cobalt Strike, Mimikatz (утилита для сбора учетных данных), а также сценарии PowerShell, используемые для получения постоянного доступа и сбора данных и учетных данных из сетей жертв.
Кроме того, ReversingLabs обнаружила атаки с использованием новых методологий, включая использование системных вызовов для обфускации вредоносной полезной нагрузки и обхода технологий мониторинга API; использование команды "net use" с именем пользователя и паролем для выполнения полезной нагрузки на смонтированном сетевом ресурсе; и развертывание нового, пока еще не идентифицированного вредоносного ПО.
Исследование подчеркивает угрозу, исходящую от Follina, которая значительно расширяет возможности злоумышленников "жить за счет земли" в средах жертв: использование встроенных административных инструментов и функций для повышения прав доступа.
Indicators of Compromise
IPv4
- 45.77.45.222
- 5.206.224.233
- 65.20.75.158
IPv4 Port Combinations
- 45.77.45.222:110
Domains
- files.attend-doha-expo.com
- seller-notification.live
- t1bet.net
- telecomly.info
- tibetyouthcongress.com
- www.telecomly.info
URLs
- http://65.20.75.158/0524x86110.exe
- https://files.attend-doha-expo.com/inv.html
- https://seller-notification.live/JFhfdsfo1234vdv
- https://seller-notification.live/Zgfbe234dg
SHA1
- 1c52a8bab1e5a107837c2d9abab1c73d571dc15d
- 3c7674214e21cc4ec6a92555a1e6d1ad5c7ed36f
- 64e5715d590c54a7c06baceef19e84ef672bc257
- 6e9e90431e5e660071b683d121ad887d3726a4a0
- 70dcbbcc20addef04eae7bf66c1545a935005c69
- 7ed97610cdee3c69be2961543ce619485b680572
- 82b0beb6fff9a90dc40b300ebf1b0ec4977ba8ad
- 83fde764f70378b4b0610d87e86faac6dc5bc54b
- 8b095d4f5b1ef62b40507e6155a55214243f2c85
- 8ea0fea3e9787f270a9a23e3335b7b8e35475b06
- b0b952334f0d0195b06faed532170263f7fad6c2
- da80a38090ef8cb52e91e639ea267c4f24bf3a21