GoblinRAT Malware IOCs

remote access Trojan IOC

Весной 2023 года одна из российских ИТ-компаний обнаружила дамп хэшей пользователей с контроллера домена, что побудило ее пригласить для расследования команду Solar 4RAYS. Обнаруженное в ходе расследования вредоносное ПО под названием GoblinRAT использовалось в скрытных атаках, которые длились более двух лет и заразили множество инфраструктур компаний, предоставляющих услуги государственным организациям.

GoblinRAT Malware

Основная задача GoblinRAT - скрыть свое присутствие в системе, а для связи с командно-контрольным пунктом (C2) он использует взломанные сайты и DDNS. Создатели вредоносной программы используют уникальные имена для задач планировщика, файлов, библиотек и служб, чтобы закрепить ее в системе, что затрудняет ее обнаружение.

В ходе исследования была прослежена эволюция GoblinRAT с 2020 года, однако широкого распространения вредоносной программы обнаружено не было. Исследователи также обнаружили, что вредоносная программа не была загружена на публичные платформы для обмена информацией об угрозах. В ходе расследования было установлено, что злоумышленники использовали различные инструменты для заметания следов, такие как утилита «shred» для удаления системных журналов и использование каталогов в оперативной памяти, чтобы не оставлять следов на жестком диске. Злоумышленники были знакомы с инфраструктурой и получили административные учетные записи до того, как были обнаружены.

Анализируя хосты, исследователи сформулировали гипотезу о возможных опорных точках, используемых злоумышленниками, таких как серверы мониторинга, оркестровки, терминального доступа и сервисы из сети DMZ. В оперативной памяти одного из серверов были обнаружены подозрительные строки, указывающие на скрипт обфускации переменных, который собирает информацию о системе. Еще одним подозрительным моментом стало изменение переменной окружения «HISTFILE» для отключения регистрации команд. Дамп памяти выявил вредоносный процесс, маскирующийся под агента системы мониторинга Zabbix, с небольшим отличием в имени и пути процесса по сравнению с легитимной версией.

Это подчеркивает сложность обнаружения данного типа вредоносного ПО, поскольку оно использует уникальные техники для сокрытия своего присутствия и полагается на взломанные сайты и динамические DNS для связи с командованием и управлением. Злоумышленники стараются использовать различные имена для своих компонентов, что затрудняет их обнаружение обычными средствами. Это расследование также подчеркивает важность мониторинга и анализа системных артефактов для выявления скрытой вредоносной деятельности.

Indicators of Compromise

IPv4

  • 188.120.249.79
  • 188.127.232.78
  • 194.58.100.120
  • 37.120.247.182
  • 62.109.0.95

Domains

  • chronyd.tftpd.net
  • doh.box-host.cloudns.cl
  • qfilling.instanthq.com

MD5

  • 04ea8d70b5a449d7db05f9e7be37bff6
  • 0a762c0a6802545dc74c9852705b1cf3
  • 12ce9cd39153064ed7bcdd775cc2c469
  • 3270a8c8e88518cdf8d0de94beb3a73f
  • 3f9b1b506dfab7a5cc32004a45ed780d
  • 5a517596ef9cff95ea755cdb93a51bf9
  • 653a34f744917c3acd4969358f232685
  • c1028c62e8538b29656872d48863f62b
  • ca36b1a673277c2db1995d736bada389
  • cadaffae0d7e9a1a94735648b713a47e
  • cc5fdeaab47f63e54340adbf1dc8f61d
  • f6e689a238240b483d2652b53bc8b808
  • fb7e2bf770f83d39df81789ab881abfa

SHA1

  • 124870723f6c408e18ad32a88212bc45b3767489
  • 202bdcdc8be32c7ca857cb01a854bc1c5f1528d1
  • 2167f0a1b7f8a3358c416d59124333ce70c2a137
  • 438e49080d011d99e91ab0d644232b8e814c2bc8
  • 478a4fc65c89682f9847dcbf1721e00de7e2c6f2
  • 56b8e7f399578097a5b8e181e316ab350f52cc52
  • 627e6e30169c2bd7e7ca3262b81dae57ba7734c7
  • 74fcaef8aedfa626ec3abc95bae348cfc87c02d4
  • 7f3f85c062ca26cb4c20513babd98cc15eb2198a
  • 9d5efc9a018e29c4f6960bfdc5e53d9daa91cd76
  • af4b404a05dbe9e336179e1423d0817d36a7c043
  • b2a4c93d2f3c101a0e6b1b57d6fb95088a54f18f
  • d964b1c6a076858570b4fe893b9d7e0295eca0b1

SHA256

  • 048e722e883eada9577c2f66a11db9eae7c5a39ce18602c21ea71676725baed8
  • 08febd2a7cee9d17709a953c064da507909420eb0e2eea9294b470348091cba2
  • 690f5031deede7d3357d0ca24c89866ae8c60e6c63b3a2c8bba813a6ac10ae5b
  • 890c4dea46b45d6f86dc87d953a7370c816d614b5d3e494c285a7260839f9ed6
  • 8babfd28ee7d0a08515ff5353000df05bdf84a262aebe9837094593d4a992e79
  • 9fe8eb5c81366d20952e0682f9d2de55775fb9c04355e96e6d45415978d797b6
  • aa475cd6c77b044ea08cec3fa96eafbff2d651b9b671dfa55903238f25c32544
  • b074749f160453053989277e2eee3d1f31d618c0813f6379415a4727ed856806
  • b9ba5f3d56330647d19abbe94bd9f62f944503e1fc7ea8771bddaac534a9abe3
  • e274d528dc35b3e693d8dceb7ff657513a93c7d8ab81e855f905d5d06c9ae25f
  • e3e68c6f9635a4745b6a97fe97fb271dec7e27415d8f42c0c87c6f8ca302e3d0
  • f80aa6aae40f45765ec14f56fc046e669c93f51faf91adfeafa4713a99f4f390
  • fcb989f128ee9fe7daa68640b57fd9dca2bf431a9324a08882803805989c2013
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий