Grandoreiro IOCs

security IOC

Недавно специалисты Zscaler ThreatLabz обнаружили кампанию Grandoreiro, направленную на организации в испаноязычных странах Мексики и Испании, которые работают в различных отраслях промышленности, таких как автомобилестроение, химическое производство и другие.

Grandoreiro

В этой кампании субъекты угроз выдают себя за государственных служащих из Генеральной прокуратуры Мехико и Государственного министерства в форме spear-phishing электронных писем, чтобы заманить жертв скачать и запустить "Grandoreiro" - распространенный банковский троян, который активен по крайней мере с 2016 года и специально нацелен на пользователей в Латинской Америке. Grandoreiro написан на Delphi и использует такие приемы, как бинарная подшивка для раздувания двоичных файлов, внедрение Captcha для обхода песочницы и командно-административная связь (CnC) с использованием шаблонов, идентичных LatentBot.

Ключевые особенности этой атаки:

  • Grandoreiro нацелена на организации в испаноязычных странах Мексики и Испании в различных отраслях промышленности.
  • Угрожающие субъекты в этой кампании выдают себя за мексиканских правительственных чиновников
  • Grandoreiro Loader использует многочисленные методы анти-анализа наряду с внедрением Captcha для обхода песочниц.
  • Grandoreiro Loader отправляет запрос на регистрацию, содержащий всю необходимую информацию о пользователе, системе и кампании.
  • Для обхода песочниц Grandoreiro использует технику бинарного заполнения, добавляя несколько изображений BMP в раздел ресурсов бинарного файла и увеличивая его размер до 400+ МБ.
  • Коммуникационная модель CnC 2022 Grandoreiro теперь полностью идентична LatentBot с маяком "ACTION=HELLO" и коммуникацией на основе ID.

Детали кампании:

ThreatLabz проанализировала несколько цепочек заражения для этой кампании Grandoreiro, которая началась в июне 2022 года и продолжается до сих пор. На основании нашего анализа можно сделать вывод, что в данном случае субъекты угроз пытаются атаковать организации в испаноязычных странах - Мексике и Испании. Отрасли, на которые направлена эта кампания, включают:

  • химическое производство
  • Автомобильная промышленность
  • Гражданское и промышленное строительство
  • Машиностроение
  • Логистика - услуги по управлению автопарком

Indicators of Compromise

Domains

  • blogsyte.com
  • cable-modem.org
  • chjjhjmomaoheoojjbynnyjiidfcncc.cable-modem.org
  • ciscofreak.com
  • collegefan.org
  • fantasyleague.cc
  • ifnnfnmcmacfdccnnjynnyjiidfcncc.collegefan.org
  • jmllmedvhgmhldjgmhvmmlljhvgdzvzz.dynns.com
  • odbbdbmgmagdfggbbnynnyjiidfcncc.blogsyte.com
  • Pcbbcrjcgbcghjpbcgkccbjorkhhjcjj.fantasyleague.cc

 

URLs

  • http://barusgorlerat.me
  • http://damacenapirescontab.com
  • http://assesorattlas.me
  • http://perfomacepnneu.me
  • 35.181.59.254/info99908hhzzb.zip
  • 35.180.117.32/$FISCALIGENERAL3489213839012
  • 35.181.59.254/$FISCALIGE54327065410839012?id_JIBBRS=DR-307494
  • 52.67.27.173/deposito(1110061313).zip
  • 54.232.38.61/notificacion(flfit48202).zip
  • 54.232.38.61/notificacion(egmux24178).zip
  • 15.188.63.127/$TIME
  • 167.114.137.244/$TIME
  • 15.188.63.127:36992/zxeTYhO.xml
  • 15.188.63.127:36992/vvOGniGH.xml
  • 15.188.63.127:36992/eszOscat.xml
  • 15.188.63.127:36992/YSRYIRIb.xml
  • 167.114.137.244:48514/eyGbtR.xml
  • barusgorlerat.me/MX/
  • assesorattlas.me/MX/
  • assesorattlas.me/AR/
  • atlasassessorcontabilidade.com/BRAZIL/
  • vamosparaonde.com/segundona/
  • mantersaols.com/MEX/MX/
  • premiercombate.eastus.cloudapp.azure.com/PUMA/

MD5

  • 2ec2d539acfe23107a19d731a330f61c
  • 531ac581ae74c0d2d59c22252aaac499
  • 56416fa0e5137d71af7524cf4e7f878d
  • 5b7cbc023390547cd4e38a6ecff5d735
  • 6433f9af678fcd387983d7afafae2af2
  • 6ab9b317178e4b2b20710de96e8b36a0
  • 724f26179624dbb9918609476ec0fce4
  • 7ea19ad38940ddb3e47c50e622de2aae
  • 970f00d7383e44538cac7f6d38c23530
  • e02c77ecaf1ec058d23d2a9805931bf8
SEC-1275-1
Добавить комментарий