Угрожающие субъекты, стоящие за вредоносным ПО XCSSET, вели себя относительно тихо с прошлого года. Однако новая активность, начавшаяся примерно в апреле 2022 года и нараставшая в период с мая по август, показывает, что субъекты не только адаптировались к изменениям в macOS Monterey, но и готовятся к уходу Python, неотъемлемой и важной части их текущего инструментария.
XCSSET Malware
С момента появления XCSSSET авторы постоянно использовали два основных инструмента для обфускации как дропперов, так и загруженных файлов: SHC и скомпилированные только для выполнения AppleScripts, соответственно.
SHC-компилированные сценарии оболочки непрозрачны для традиционных инструментов статического сканирования и содержат лишь несколько человекочитаемых строк.
Поскольку все SHC-компилированные двоичные файлы, как легитимные, так и вредоносные, содержат эти же строки, сигнатурные сканеры не могут их различить.
Indicators of Compromise
IPv4
- 45.82.153.92
Domains
- adobefile.ru
- appledocs.ru
- Cosmodron.com
- gismolow.com
- gurumades.ru
- kinksdoc.ru
- melindas.ru
- superdocs.ru
SHA1
- 0e1b2f01441e6e6fc8a48a7871e649d3647828cd
- 127b66afa20a1c42e653ee4f4b64cf1ee3ed637d
- 1396fdbff38b787d14b1135dcdfc367658669637
- 25f8d7ac99e00c9d69679f2d9aca5954d2609a03
- 263b243df32be6d9d9878c459d2fc6491342d547
- 2a2330b13886ffe0e4fe54f7254008490814b5fa
- 2a62d6bcac7b0c5e75f561458e934ec45c77699c
- 2a6d37160f21ec13aa6c692a3ca3374db3d35e96
- 2dbf06445a294b4f786501ef16ea4aabd8e1ad72
- 3257a1f540455444a56975e7fd9cdb6f8148b828
- 3de232d0a42959b20703ebb9d9376b3ef3d3015d
- 3f35fd8306d4a05fadd9095acacd8d5f297a112e
- 4c368635ecfee61a89203f3f0e84bfdd7d85073d
- 4ffb268475e3816b22aadfb147bd7cd2f211e3d5
- 5b66e4b1556ad03b4bf072d061de0606eabe8603
- 5e673f4c494c424ae450f2ea5c0b066f912edccb
- 672837de18d0e34f8b2a77bc2646b245671c83dc
- 6c0b4e3e3bac36f3228e69ab1e53884f76f6828b
- 6cf1ec6af6c6102c9d4929b1a83e0a463e737255
- 73918b840384e485d009632fdf1a396758d7c515
- 73d9a443933fb0c40dde3065ec77adad35a5c49a
- 760676a2e05d25959dee1f9ffaf3042e5f2e0f31
- a1449c5fbf8cf126502bd68a8e8d657b3dcfd87a
- a57b73190525a729d821b6aed6849084fc1beddd
- b66dbd55ce42a61cfedd06f31725b7f56d10d548
- bd13d22095d377938c50088e59fa3079143cb0f2
- bde20788e2656454052aae9baf2f4d2b7c256c9d
- c2a90c68ad9d93139ebce981a409beae5d7de8bf
- cbf08fae71fcd46cc852fad7502685466c40e168
- d70f4974bd531af674c5c2da3bc3c7d1a0ac9b54
- dde87aefcaf788f770e5e1229db4fe73873e1c36
- e2de10a6b517e298cb2e7da150224dfe7e5717a7
- e4b6c56faa97493dc0f0f7c4fc2196096ef66513
- f3a747bf10763d7d8c1cd9ccedd1e25ee195fce3
- f4099a0884d3f1bf5602c8c6ba5265b76d7f4953
- fb29c9daa6fdeaa945446fe7cde185d51296dc7d
- fd82b821fa2c23f2b88f64179e3a7a8905c1e40b