RedLine/Cobalt Strike/Amadey IOCs

security IOC

Недавно Cisco Talos обнаружила вредоносную кампанию с модульной техникой атаки для доставки маячков Cobalt Strike на зараженные конечные устройства.
Начальным вектором этой атаки является фишинговое электронное письмо с вложением вредоносного документа Microsoft Word, содержащего эксплойт, который пытается использовать уязвимость CVE-2017-0199, проблему удаленного выполнения кода в Microsoft Office. Если жертва открывает maldoc, она загружает вредоносный шаблон документа Word, размещенный на контролируемом злоумышленником репозитории Bitbucket.


Компания Talos обнаружила две методологии атаки, использованные злоумышленником в этой кампании: В одной из них загруженный шаблон DOTM выполняет встроенный вредоносный сценарий Visual Basic, который приводит к генерации и выполнению других обфусцированных сценариев VB и PowerShell, а в другой - вредоносный VB загружает и запускает исполняемый файл Windows, который выполняет вредоносные команды PowerShell для загрузки и внедрения полезной нагрузки.
Обнаруженная полезная нагрузка представляет собой утечку версии маяка Cobalt Strike. Конфигурация маяка содержит команды для выполнения целевой инъекции произвольных двоичных файлов в процесс и имеет настроенный домен с высокой репутацией, демонстрирующий технику перенаправления для маскировки трафика маяка.
Хотя полезной нагрузкой, обнаруженной в этой кампании, является маяк Cobalt Strike, Talos также наблюдал использование в качестве полезной нагрузки исполняемых файлов Redline, похищающих информацию, и ботнета Amadey.

Эта кампания является типичным примером того, как угрожающий субъект использует технику генерации и выполнения вредоносных скриптов в системной памяти жертвы. Защитники должны внедрить возможности поведенческой защиты в систему обороны организации для эффективной защиты от безфайловых угроз.

Indicators of Compromise

IPv4

  • 185.225.73.238
  • 43.154.175.230

URLs

  • https://bitbucket.org/atlasover/atlassiancore/downloads/EmmaJardi.dotm
  • https://bitbucket.org/atlasover/atlassiancore/downloads/newmodeler.dll
  • https://bitbucket.org/clouchfair/oneproject/downloads/strymon.png
  • https://bitbucket.org/clouchfair/oneproject/downloads/ww.dotm

SHA256

  • 0be8a6ef98747e0efd13917d93bf0999b728588b29f4e24d3ee23e26314a1a1a
  • 15fdad64484543b204ca76537542b6cf42b4b6fb9856692c8bf691648d647d88
  • 254f866241e09be7d4d7490ce9c6347ed2c671d0eac4f9d3c67155c37de3af07
  • 5f344c80096e18a98b6acd77482886f402cfbccb90d922d03aac07d1ae6261af
  • 6d9c595c51eb561ce0e7dc6594fc60702371d5e1ac97c4c1255def8e4084ef08
  • 718e55af05f48101eac7fb07767dba56a26651f8ed14f1c88058e1902d3d9dd5
  • 72be84fe73565209958183176cb9abd44d8e6d862f234105ed5673c171de5991
  • abafb5ae3f8d730acd06389320353631cbe5bc02064561851468301aa0ee9ce1
  • c6a948be6c714e8dcce8f0fc9c2dce8b3d1f22fee9246089dbbbe1046aed8c03
  • d7c23a85bbd337bdeba63ce50cd64fa56bd08ca5631b29211e0446c77eb69f9e
  • ec1e1d45162b92fbe2811c16da830186a558d4cd8af52620f37c440bbd763013
  • fa53323173c272fee9626adffdb7d4336b299316b5dd9115fdb8674b94384d89
SEC-1275-1
Добавить комментарий