UNC4034 APT IOCs

security IOC

В июле 2022 года в ходе проактивной охоты за угрозами в компании, работающей в сфере СМИ, Mandiant Managed Defense выявила новую методику spear phish, используемую кластером угроз, отслеживаемым как UNC4034 (он же "Temp.Hermit" или "Labyrinth Chollima"). Mandiant выявил несколько совпадений между этой группой и теми, которые, как мы подозреваем, связаны с Северной Кореей.

UNC4034

UNC4034 устанавливала связь с жертвой через WhatsApp и заманивала ее скачать вредоносный ISO-пакет с предложением поддельной работы, что приводило к установке бэкдора AIRDRY.V2 через троянизированный экземпляр утилиты PuTTY.

Методы, использованные UNC4034 в этой компрометации, а также методы, использованные в бесчисленных вторжениях, исследованных Mandiant, используются для постоянного развития и уточнения гипотез поиска угроз в рамках Managed Defense. Они обеспечивают высокую точность и практичность выводов, которые основаны на развивающихся методах работы угрожающих субъектов.

Начальной зацепкой был файл, загруженный на хост под названием amazon_assessment.iso. Архивы ISO и IMG стали привлекательными для угроз, поскольку, начиная с Windows 10, двойной щелчок по этим файлам автоматически монтирует их как виртуальный диск и делает их содержимое легко доступным. Это снижает усилия, необходимые для просмотра встроенных файлов, по сравнению с другими форматами, такими как архивы RAR. Обнаружение вредоносных IMG и ISO архивов, передаваемых через фишинговые вложения, является обычным делом для Mandiant Managed Defense. Полезная нагрузка, содержащаяся в таких архивах, варьируется от обычных вредоносных программ до продвинутых бэкдоров, как в примере, проанализированном в этой статье.

Mandiant Managed Defense провела расследование на хосте, чтобы определить, как был создан файл amazon_assessment.iso. Основываясь на имеющихся данных, Mandiant считает, что UNC4034 начал общение с жертвой, предложив ей работу в Amazon по электронной почте. Впоследствии UNC4034 общался с ним через WhatsApp и поделился файлом amazon_assessment.iso, который пользователь загрузил с помощью веб-версии WhatsApp.

Архив amazon_assessment.iso содержал два файла: исполняемый и текстовый. Текстовый файл под названием Readme.txt содержал данные о подключении для использования со вторым файлом: PuTTY.exe.

PuTTY - это клиент SSH и Telnet с открытым исходным кодом. Легитимные, скомпилированные версии этого инструмента, загруженные с сайта издателя, будут иметь действительную цифровую подпись.

Размер двоичного файла PuTTY, загруженного жертвой, также значительно больше, чем у легитимной версии. При ближайшем рассмотрении он содержит большой раздел .data с высокой энтропией по сравнению с официально распространяемой версией. Подобные разделы обычно указывают на упакованные или зашифрованные данные.

Выполнение вредоносного двоичного файла PuTTY привело к развертыванию бэкдора на хосте. Развернутый бэкдор является развитием семейства вредоносных программ, которые Mandiant называет AIRDRY. Mandiant Managed Defense успешно расследовала компрометацию и локализовала хост до того, как могли возникнуть последующие действия, вызванные развернутым бэкдором. Хотя Mandiant обнаружила и отреагировала на компрометацию 2022-07-05, тот же исполняемый файл PuTTY был замечен на VirusTotal уже в 2022-06-27.

Кроме того, Mandiant обнаружил второй ISO-архив под названием amazon_test.iso, загруженный на VirusTotal 2022-06-17. Mandiant обнаружил второй архив, ориентируясь на IP-адрес, содержащийся в файле Readme.txt. Этот ISO-файл также имел Readme.txt с тем же IP-адресом и аналогичный троянизированный исполняемый файл PuTTY.

Оба ISO-файла, найденные Mandiant, похоже, использовали одну и ту же тему заманивания, выдавая себя за оценку набора персонала для Amazon. Они также содержали аналогично сконструированные вредоносные программы, которые привели к окончательной полезной нагрузке бэкдора AIRDRY.V2.

Indicators of Compromise

IPv4

  • 137.184.15.189

URLs

  • https://hurricanepub.com/include/include.php
  • https://turnscor.com/wp-includes/contacts.php
  • https://www.elite4print.com/support/support.asp

File paths

  • C:\ProgramData\PackageColor\colorcpl.exe
  • C:\ProgramData\PackageColor\colorui.dll

MD5

  • 18c873c498f5b90025a3c33b17031223
  • 4914bcbbe36dfa9d718d02f162de3da1
  • 6d1a88fefd03f20d4180414e199eb23a
  • 8368bb5c714202b27d7c493c9c0306d7
  • 90adcfdaead2fda42b9353d44f7a8ceb
  • c650b716f9eb0bd6b92b0784719081cd

SHA256

  • 1492fa04475b89484b5b0a02e6ba3e52544c264c294b57210404b96b65e63266
  • 3ac82652cf969a890345db1862deff4ea8885fe72fb987904c0283a2d5e6aac4
  • 8cc60b628bded497b11dbc04facc7b5d7160294cbe521764df1a9ccb219bba6b
  • aaad412aeb0f98c2c27bb817682f08673902a48b65213091534f96fe6f5494d9
  • cf22964951352c62d553b228cf4d2d9efe1ccb51729418c45dc48801d36f69b4
  • e03da0530a961a784fbba93154e9258776160e1394555d0752ac787f0182d3c0
SEC-1275-1
Добавить комментарий