Agent Tesla Spyware IOCs - Part 8

Лаборатория Zscaler ThreatLabz обнаружила кампанию по доставке Agent Tesla, кейлоггера на базе .NET и трояна удаленного доступа (RAT), активного с 2014 года, с помощью конструктора под названием "Quantum Builder", продаваемого в темной паутине. Эта кампания отличается усовершенствованиями и переключением на файлы LNK (ярлыки Windows) по сравнению с аналогичными атаками в прошлом.

Quantum Builder (он же "Quantum Lnk Builder") используется для создания вредоносных файлов ярлыков. Она была связана с APT Lazarus Group из-за общих ТТП и совпадения исходного кода, но мы не можем с уверенностью приписать эту кампанию какому-либо конкретному угрожающему субъекту. В этой кампании угрожающий агент использует Quantum Builder для создания вредоносных LNK, HTA и PowerShell полезных нагрузок, которые затем доставляют Agent Tesla на целевые машины. Полезные нагрузки, создаваемые конструктором, используют такие сложные методы, как:

• обход контроля учетных записей пользователей с помощью двоичного файла Microsoft Connection Manager Profile Installer (CMSTP) для выполнения конечной полезной нагрузки с привилегиями администратора, а также для выполнения исключений Windows Defender.
• Использование многоступенчатой цепочки заражения, объединяющей различные векторы атак с использованием LOLBins
• Выполнение сценариев PowerShell в памяти с целью уклонения от обнаружения
• Выполнение ложных целей для отвлечения жертв после заражения.

Agent Tesla Spyware IOCs

• Agensla (Agent Tesla) Spyware IOCs
• Agent Tesla Malware IOCs
• [GS-032] Agent Tesla Spyware IOCs
• [GS-002] Agent Tesla Spyware IOCs
• AgentTesla Spyware IOCs - Part 3
• AgentTesla Spyware IOCs - Part 2
• AgentTesla Spyware IOCs

Indicators of Compromise

Domains

• ftp.qurvegraphics.com
• mail.thesharpening.com.au

URLs

• 179.43.175.187/puao/PAYMENT.hta
• 179.43.175.187/puao/PAYMENTS.exe
• 179.43.175.187/puao/PO-M6888722.hta
• 179.43.175.187/puao/PO-M6888757.exe
• filebin.net/e730ez2etlh3weer/MuUQDuaFNoGmHQE.exe
• filebin.net/njqyvfot61w0tu9a/ordr.hta
• filebin.net/yiob7vjw7pqow03r/RFQ_270622.hta

MD5

• 0ebb9d422f8e86458d8fa7f66fe1d0f1
• 1adc0bd494cd42578ac8c8e726d5ad92
• 213ada506251c477480bd14ea5507bf3
• 31c341ad31224cc7d38a5c4e80ccb727
• 3edfa0cf3b7d54c24013e4f0019dba20
• 563fda5da81a5e7818d771222e81f6c4
• bb914889d5edc6b56c666d2e44e1a437
• d9433faddcaca526b26f713e27e2505f
• f931773a226809669cad91410a57267f