Agent Tesla Spyware IOCs - Part 8

security IOC

Лаборатория Zscaler ThreatLabz обнаружила кампанию по доставке Agent Tesla, кейлоггера на базе .NET и трояна удаленного доступа (RAT), активного с 2014 года, с помощью конструктора под названием "Quantum Builder", продаваемого в темной паутине. Эта кампания отличается усовершенствованиями и переключением на файлы LNK (ярлыки Windows) по сравнению с аналогичными атаками в прошлом.

Quantum Builder (он же "Quantum Lnk Builder") используется для создания вредоносных файлов ярлыков. Она была связана с APT Lazarus Group из-за общих ТТП и совпадения исходного кода, но мы не можем с уверенностью приписать эту кампанию какому-либо конкретному угрожающему субъекту. В этой кампании угрожающий агент использует Quantum Builder для создания вредоносных LNK, HTA и PowerShell полезных нагрузок, которые затем доставляют Agent Tesla на целевые машины. Полезные нагрузки, создаваемые конструктором, используют такие сложные методы, как:

  • обход контроля учетных записей пользователей с помощью двоичного файла Microsoft Connection Manager Profile Installer (CMSTP) для выполнения конечной полезной нагрузки с привилегиями администратора, а также для выполнения исключений Windows Defender.
  • Использование многоступенчатой цепочки заражения, объединяющей различные векторы атак с использованием LOLBins
  • Выполнение сценариев PowerShell в памяти с целью уклонения от обнаружения
  • Выполнение ложных целей для отвлечения жертв после заражения.

Agent Tesla Spyware IOCs

Indicators of Compromise

Domains

  • ftp.qurvegraphics.com
  • mail.thesharpening.com.au

URLs

  • 179.43.175.187/puao/PAYMENT.hta
  • 179.43.175.187/puao/PAYMENTS.exe
  • 179.43.175.187/puao/PO-M6888722.hta
  • 179.43.175.187/puao/PO-M6888757.exe
  • filebin.net/e730ez2etlh3weer/MuUQDuaFNoGmHQE.exe
  • filebin.net/njqyvfot61w0tu9a/ordr.hta
  • filebin.net/yiob7vjw7pqow03r/RFQ_270622.hta

MD5

  • 0ebb9d422f8e86458d8fa7f66fe1d0f1
  • 1adc0bd494cd42578ac8c8e726d5ad92
  • 213ada506251c477480bd14ea5507bf3
  • 31c341ad31224cc7d38a5c4e80ccb727
  • 3edfa0cf3b7d54c24013e4f0019dba20
  • 563fda5da81a5e7818d771222e81f6c4
  • bb914889d5edc6b56c666d2e44e1a437
  • d9433faddcaca526b26f713e27e2505f
  • f931773a226809669cad91410a57267f
SEC-1275-1
Добавить комментарий