PivNoxy Malware IOCs

security IOC

Недавно простое и короткое письмо с подозрительным RTF-вложением, отправленное в телекоммуникационное агентство в Южной Азии, привлекло внимание FortiGuard Labs. Письмо было замаскировано под письмо от пакистанского правительственного подразделения и содержало вредоносную программу PivNoxy.

PivNoxy Malware

Прикрепленный файл doc имеет формат RTF. Он был создан с помощью инструмента под названием Royal Road - фишингового "оружейника", который, как полагают, используется несколькими азиатскими субъектами APT-угроз. Также называемый 8.t RTF exploit builder, Royal Road позволяет группам APT создавать файлы RTF со встроенными объектами, которые могут использовать уязвимости в Microsoft Word для заражения целей. Некоторые из известных уязвимостей, которые поддерживает Royal Road, включают:

  • CVE-2017-11882 (Уязвимость повреждения памяти Microsoft Office)
  • CVE-2018-0802 (Уязвимость повреждения памяти Microsoft Office)
  • CVE-2018-0798 (Уязвимость повреждения памяти Microsoft Office)

При открытии вложения электронной почты открывается ложный документ Word. И в то же время в фоновом режиме эксплуатирует CVE-2018-0798. CVE-2018-0798 - это уязвимость удаленного выполнения кода (RCE) в редакторе уравнений Microsoft (EQNEDT32). Microsoft выпустила исправление для нее 9 января 2018 года. Тот факт, что злоумышленники по-прежнему используют эту уязвимость, говорит о том, что не все организации устанавливают критические исправления или обновляют программное обеспечение до последней версии. Правда заключается в том, что старые уязвимости по-прежнему часто и успешно эксплуатируются.

После выполнения вредоносный документ создает три файла:

  • C:\\\ProgramData\Cannon\Cannondriver.exe
  • C:\\\ProgramData\Cannon\LBTServ.dll
  • C:\\\ProgramData\Cannon\Microsoft.BT

Несмотря на обманчивое имя файла, Cannondriver.exe является легитимным файлом Logitech, LBTWizGi.exe, с описанием "Logitech Bluetooth Wizard Host Process". Cannondriver.exe даже подписан цифровым сертификатом, выданным Logitech.

С другой стороны, файл LBTServ.dll не имеет цифровой подписи. Вот тут-то и становится интересно. "Cannondriver.exe" уязвим к атаке перехвата порядка поиска DLL, которой пользуется LBTServ.dll. Обратите внимание, что образец "LBTServ.dll", используемый в этой атаке, имеет время компиляции Sun July 18 02:04:24 2021 GMT. Это означает, что данная группа создала этот вариант задолго до того, как им понадобилось его использовать. Это говорит о том, что они либо были готовы атаковать свою цель почти за год до этого, либо начали накапливать арсенал вредоносных программ, готовых к использованию в любой момент. Недавние образцы Chinoxy, которые оставались под радаром, но были обнаружены в ходе нашего расследования, имеют аналогичное время компиляции.

После того как Cannondriver.exe загружает поддельную LBTServ.dll и вызывает функцию LGBT_Launch, вредоносная функция загружает в память другой сброшенный файл, Microsoft.BT, и приступает к его расшифровке. Цепочка атак похожа на ту, что используется бэкдором Chinoxy, который также использует Cannondriver.exe для загрузки вредоносной LBTServ.dll для доставки своей полезной нагрузки.

Однако этот вариант, отправленный в телекоммуникационное агентство в Южной Азии, доставляет конечную полезную нагрузку несколько иначе, чем его предшественники. Вместо LBTServ.dll, содержащей конечную полезную нагрузку, она загружает шеллкод из отдельного файла и внедряется в svchost.exe. Затем он связывается с instructor[.]giize[.]com, динамический DNS перенаправляет соединение на IP злоумышленника, где размещена полезная нагрузка.

Indicators of Compromise

IPv4

  • 58.64.184.201

Domains

  • 784kjsuj.dynamic-dns.net
  • agoog1eupdate.com
  • beautygirl.dynamic-dns.net
  • cdn.cloudistcdn.com
  • eofficeupdating.com
  • frontbeauty.dynamic-dns.net
  • instructor.giize.com
  • mfaupdate.com
  • myhost.camdvr.org
  • q.cloudistcdn.com

SHA256

  • 07a37e52533bf26f5d506c69e748f479de5dcd416103f8d7a4a06c948e1051ad
  • 152f95a5bdf549c5ca789d0dd99d635ee69cca6fe464ced5b39d0316707a4914
  • 289ce24d873986d607ab8e43f499be562fa4925d2b5be16bb31ce68a00b4020a
  • 2bebd0989d1d8c6bb681217399281640521d61ce207f358a4340377898ed44c5
  • 399563e798edd4a9e1a89209b1b350a4e1197786c23c0986a1a965446e7d5474
  • 3c9d802f617aab4c6973cef74d2509fea00ee8454681c40df09a4734946e5125
  • 3f21e0b3ef80fd9393c6e187311a78aee22738f510ed227397249157b131b890
  • 4d9af80dad6dcdfe37931094c42296d53ef6d98b633db32503d7972fd7e0e3f6
  • 5137bc35b042c0ea2ad56f3b0e03191e840cce9e9dadb470d6a7a018f3a1a4fb
  • 53c7ab494527a8118f89ba99dea51b223f98e368e687f42d31925945b0282e87
  • 59ea7516b2a028e5cad938534099f45b5d28f7cfa32d268a8bdcbe5f6320b5a6
  • 5c2a6b11d876c5bad520ff9e79be44dfbb05ee6a6ff300e8427deab35085bef6
  • 6485d76e645d2f7e27a20d072f07c282583f21ec42801de588193d01b591a957
  • 6a8ba940d40be935ffc623b5fadfdb4537c1787fedf5889021b0ceb65dfa809d
  • 6ab62f7cd1c4a00c200cd130afa7352bb6e536e324cb9ead13e01e54146bb112
  • 6f7f142089b1d2e48880f59362c7c50e5d193166bdd5e4b27318133e8fe27b2c
  • 719f25e1fea12c8dc573e7161458ce7a5b6683dee3a49bb21a3ec838d0b35dd3
  • 72a7341805713327f09f881bc7184610ed28101bfbda93fd829d0d52978c22eb
  • 75f7b6197d648eaa8263d23c8f9aa9224038259d25df073803929d6582ea27b1
  • 82f8cf41aa720e268ee0c6e43cd52512ea4a2f98a51844071e0faaf1eb13ce62
  • 86c563a8630150934ae7468e074f81914d26b978c32571ce9f4d9b349dc03349
  • 8ceb84e33db56092618f763771630b0759d7122d5df5afaeb4c1ebc9e72ed7f1
  • 8d7d259ac375171c59ac81ba9a16949ac7277c8ed3841c229ce48def0358c96e
  • 8dfda79f7848a41f0a8f7a68096fcb6783ace3f3430ae3d7d05fed1ad4533fe0
  • 947760b4f688863708741457297d74810ad45e20e2c02d91b54b056716803777
  • 9f93a50cadd762d36788ce1c8d5deb2d26e109f717f3e2d4d5c8f0d3344de725
  • a33dcbd2ccf291ebd465bfcd6a9be10b3d6c0d89fa5ee0038a2e41fbd6c0397d
  • a4cbae07c1d674d41c1297be4e0c19b2f138c2ef29db16b5edc528026dc4e717
  • a557eed41c5e021209c7e3a3eada10abf43e2bfabf930552b6cb7a4b7568b971
  • a638cce32a01f63febe2d21b02ef9f6f6c6c59e2107a043eb2ae547ff9a1d776
  • a8c21cb9dea1c9bc62adcc6de4a73c7971ea797ab4fdb93320532647625e22ba
  • a8d92ace0ea438759428877a32cd92f73790d86d0e3384317c04a9ae4ed30c55
  • a8f1e7eccae75e840b1d6982b06ee322ceaed65ade23a10d17c8414e5a522110
  • ab49e15c0a0e4f977748faae36255889c2239cde847ed49304881c123b9a0e99
  • af7d3f46c32f4040dbfb6f85d6db1471e29c4a9290654d3f44351e316f05fba5
  • b0ad5af44a0a07a2408e9a6b4e4a27e366aa64350ff60f398d1b8086172034f6
  • c25ae716a651c7c846871275bfde7188224628e3380fd6f256aacba1cb15ad61
  • c44be5ed5c4bec2be72ce9737bde5a2d48fe5fb0ea235ddc61ba447b26642949
  • c8934c7b3187e48b1ee44fc2c8e1c3ab19850efc1e45383442cfe4b9b4a06d01
  • cdf417e67b0aaf798ac7c0f9ccb8b5b21f09b408ee6748beea5e03e76902e7fe
  • d49c0d6113a9928486e35a7013d9c09a52743bd8fe84712e27c54fcac9b9e31e
  • d59278ff54d30176263deadcb7d21ba6f9b7eb1139e3dcd6f7ea534183f96c92
  • d863f559ba323625f20721e910bf920ee73a5303f6edadbec2aa670b640e01c8
  • e537b6eb903d9bb9b3cb0e63f9fddf2afa0875af7558b5bec3c98cebf1452e01
  • f229239ed7665338961eec60a17bcca0fed1eb957b0e751dd991ce664140d79c
  • f309b42845ca3e36e0bb6ec68f424a11ff8f77642afc3bd4425118dc0d2514e0
  • f8a8ccfa6426f27da75649dbef26213aae6137f726d29232e45e4183391016bf

 

SEC-1275-1
Добавить комментарий