Недавно специалисты Zscaler ThreatLabz обнаружили кампанию Grandoreiro, направленную на организации в испаноязычных странах Мексики и Испании, которые работают в различных отраслях промышленности, таких как автомобилестроение, химическое производство и другие.
Grandoreiro
В этой кампании субъекты угроз выдают себя за государственных служащих из Генеральной прокуратуры Мехико и Государственного министерства в форме spear-phishing электронных писем, чтобы заманить жертв скачать и запустить "Grandoreiro" - распространенный банковский троян, который активен по крайней мере с 2016 года и специально нацелен на пользователей в Латинской Америке. Grandoreiro написан на Delphi и использует такие приемы, как бинарная подшивка для раздувания двоичных файлов, внедрение Captcha для обхода песочницы и командно-административная связь (CnC) с использованием шаблонов, идентичных LatentBot.
Ключевые особенности этой атаки:
- Grandoreiro нацелена на организации в испаноязычных странах Мексики и Испании в различных отраслях промышленности.
- Угрожающие субъекты в этой кампании выдают себя за мексиканских правительственных чиновников
- Grandoreiro Loader использует многочисленные методы анти-анализа наряду с внедрением Captcha для обхода песочниц.
- Grandoreiro Loader отправляет запрос на регистрацию, содержащий всю необходимую информацию о пользователе, системе и кампании.
- Для обхода песочниц Grandoreiro использует технику бинарного заполнения, добавляя несколько изображений BMP в раздел ресурсов бинарного файла и увеличивая его размер до 400+ МБ.
- Коммуникационная модель CnC 2022 Grandoreiro теперь полностью идентична LatentBot с маяком "ACTION=HELLO" и коммуникацией на основе ID.
Детали кампании:
ThreatLabz проанализировала несколько цепочек заражения для этой кампании Grandoreiro, которая началась в июне 2022 года и продолжается до сих пор. На основании нашего анализа можно сделать вывод, что в данном случае субъекты угроз пытаются атаковать организации в испаноязычных странах - Мексике и Испании. Отрасли, на которые направлена эта кампания, включают:
- химическое производство
- Автомобильная промышленность
- Гражданское и промышленное строительство
- Машиностроение
- Логистика - услуги по управлению автопарком
Indicators of Compromise
Domains
- blogsyte.com
- cable-modem.org
- chjjhjmomaoheoojjbynnyjiidfcncc.cable-modem.org
- ciscofreak.com
- collegefan.org
- fantasyleague.cc
- ifnnfnmcmacfdccnnjynnyjiidfcncc.collegefan.org
- jmllmedvhgmhldjgmhvmmlljhvgdzvzz.dynns.com
- odbbdbmgmagdfggbbnynnyjiidfcncc.blogsyte.com
- Pcbbcrjcgbcghjpbcgkccbjorkhhjcjj.fantasyleague.cc
URLs
- http://barusgorlerat.me
- http://damacenapirescontab.com
- http://assesorattlas.me
- http://perfomacepnneu.me
- 35.181.59.254/info99908hhzzb.zip
- 35.180.117.32/$FISCALIGENERAL3489213839012
- 35.181.59.254/$FISCALIGE54327065410839012?id_JIBBRS=DR-307494
- 52.67.27.173/deposito(1110061313).zip
- 54.232.38.61/notificacion(flfit48202).zip
- 54.232.38.61/notificacion(egmux24178).zip
- 15.188.63.127/$TIME
- 167.114.137.244/$TIME
- 15.188.63.127:36992/zxeTYhO.xml
- 15.188.63.127:36992/vvOGniGH.xml
- 15.188.63.127:36992/eszOscat.xml
- 15.188.63.127:36992/YSRYIRIb.xml
- 167.114.137.244:48514/eyGbtR.xml
- barusgorlerat.me/MX/
- assesorattlas.me/MX/
- assesorattlas.me/AR/
- atlasassessorcontabilidade.com/BRAZIL/
- vamosparaonde.com/segundona/
- mantersaols.com/MEX/MX/
- premiercombate.eastus.cloudapp.azure.com/PUMA/
MD5
- 2ec2d539acfe23107a19d731a330f61c
- 531ac581ae74c0d2d59c22252aaac499
- 56416fa0e5137d71af7524cf4e7f878d
- 5b7cbc023390547cd4e38a6ecff5d735
- 6433f9af678fcd387983d7afafae2af2
- 6ab9b317178e4b2b20710de96e8b36a0
- 724f26179624dbb9918609476ec0fce4
- 7ea19ad38940ddb3e47c50e622de2aae
- 970f00d7383e44538cac7f6d38c23530
- e02c77ecaf1ec058d23d2a9805931bf8