Команда Securonix Threat Research недавно обнаружила новую кампанию скрытых атак, направленную на несколько военных/оружейных компаний-подрядчиков, включая, вероятно, стратегического поставщика истребителя F-35 Lightning II. В стейджере в основном использовался PowerShell, и хотя стейджеры, написанные на PowerShell, не являются уникальными, процедуры, задействованные в них, отличаются целым рядом интересных тактик, методологией сохранения, контр-лечением и слоями обфускации для сокрытия кода.
Кроме того CnC, задействованное в стейджере, было достаточно сложным. Securonix заметили три уникальных домена, использующих Cloudflare CDN.
Общая цепочка атаки показана на рисунке ниже, где показана фаза начального компрометации, которая, как вы можете видеть, является довольно надежной по сравнению с большинством загрузчиков, которые видели в прошлом.
Indicators of Compromise
IPv4
- 28.199.53.243
- 165.227.139.39
Domains
- cobham-satcom.onrender.com
- onrender.com
- terma.app
- terma.dev
- terma.icu
- terma.ink
- terma.lol
- terma.pics
- terma.vip
- terma.wiki
SHA256
- 691c0a362337f37cf6d92b7a80d7c6407c433f1b476406236e565c6ade1c5e87
- da0888f06b2e690a3a4f52f3b04131f7a181c12c3cb8e6861fc67ff062beef37