За последние шесть месяцев шпионская группа Budworm совершила атаки на ряд стратегически важных объектов, включая правительство одной из стран Ближнего Востока, транснационального производителя электроники и законодательный орган штата США. Последняя атака - это первый случай за последние несколько лет, когда Symantec видит, что Budworm атакует американскую организацию.
В последних атаках Budworm использовал уязвимости Log4j (CVE-2021-44228 и CVE-2021-45105) для компрометации службы Apache Tomcat на серверах с целью установки веб-оболочек. В качестве командно-контрольных (C&C) серверов злоумышленники использовали виртуальные частные серверы (VPS), размещенные на Vultr и Telstra.
Основной полезной нагрузкой Budworm по-прежнему является семейство вредоносных программ HyperBro, которые часто загружаются с помощью техники, известной как побочная загрузка библиотек динамической компоновки (DLL). Злоумышленники также иногда использовали в качестве полезной нагрузки троянскую программу PlugX/Korplug. Другие инструменты, использовавшиеся в недавних атаках, включают:
- Cobalt Strike: Готовый инструмент, который можно использовать для загрузки шеллкода на машины жертв. Он используется в качестве инструмента для тестирования на проникновение, но часто используется злоумышленниками.
- LaZagne: Общедоступный инструмент для сброса учетных данных.
- IOX: общедоступный прокси-сервер и инструмент переадресации портов.
- Fast Reverse Proxy (FRP): инструмент обратного прокси.
- Fscan: Общедоступный инструмент сканирования интрасети.
Indicators of Compromise
IPv4
- 139.180.146.101
- 207.148.76.235
- 45.77.46.54
SHA256
- 0129c9c7b55a6f514a9fa8c38ce59d8939efda6ece67b90c6be13aec40f1bdab
- 018d3a957aa0eaa7a621b52d15f4a1ed18b0f81c477e6023cd80313d83f7dbc0
- 0d46907320ab55d98966389f41441aa0341a7db829cd166748d8929d466c9fba
- 233bb85dbeba69231533408501697695a66b7790e751925231d64bddf80bbf91
- 25da610be6acecfd71bbe3a4e88c09f31ad07bdd252eb30feeef9debd9667c51
- 27c2a9608ce80a443c87a0a2947864df7d4491cfa85608c6a6b6680ec0277f9d
- 386c9079d65bdd7e3f7b8872024a80992b5d5c6a3c8b971c47d1ef439b9e2671
- 3d7dc77ded4022a92a32db9e10dbc67fbcc80854a281c3cc0f00b6cbd2bfd112
- 42b603fffd4766fa22f6e10884e7fa43f449d515cfa20a18f0d07a6d4c370962
- 48e81b1c5cc0005cc58b99cefe1b6087c841e952bb06db5a5a6441e92e40bed6
- 5aecbb6c073b0cf1ad1c6803fa1bfaa6eca2ec4311e165f25d5f7f0b3fe001db
- 5c2d05bfc9b6d4fc7aea32312c62180564fac9f65b0867e824d81051e5fc34fd
- 5cba27d29c89caf0c8a8d28b42a8f977f86c92c803d1e2c7386d60c0d8641285
- 61deb3a206cc203252418b431f6556e3f7efd9556fc685eeda7281d9baf89851
- 620e401b2b7727a6c7ebc37ee1f7d8e1742d7121c1f4ea350a43d460ef9bdc4c
- 6398876f73cd0157a7681de4b2326a0a313dc7f9cb2bee3001894137da41c1f0
- 6e493ce8dccabf172d818453cc9d4e5bf4b1969ff9690c51b8cb538346e8e00e
- 714d0101039bfd7d3db4dfe8307bc1657b7266ff2528b5e852b752879ebe7113
- 779ae012ede492b321fd86df70f7c9da94251440ebe5ec3efee84a432f432478
- 892663bb4f3080c3f2f1915734897cab1c9ee955a77bb8541b417ec2b03cd4ef
- 8b2e7924f5038473736705b5c3dc3efa918fb7ffe2cc19ce48e4554658d33fe6
- 90eb92db757dc1ab4ca55b18b604350ecd84b7cd1d9a2555d789432f8c9a430b
- ab949af896b6a6d986aed6096c36c4f323f650ccccfc7ea49004ba919d1bfa46
- bebce37572ea2856663383215a013f8115c1f81da0f2bf1233c959955c494032
- bfffc43d948d1787622bcde524e51c932a2a1fdc761539f60e777e21ef16e83d
- c3213937c194246d29dd5fb39d8e7ef3671df58e3f01353784a06a075f21cfc5
- c53b6a2ec48647121a3e8816636b34ee2cdd6846d6d05efd9539d17a1c021da0
- c8aea84abb476ab536198a36df53b37be3d987a9ce58cb06e93cac7d2bfb3703
- cda8f76ce72759324e11c8af17736d685ca95954c0a09a682834b92a033bb11a
- d4776939dcf78f5f7491b9938480423956ac10a3c576028dec307511c586a124
- d610547c718fcca7c5c7e02c6821e9909333daf6376a1096edf21f9355754f29
- df847abbfac55fb23715cde02ab52cbe59f14076f9e4bd15edbe28dcecb2a348
- ed2f501408a7a6e1a854c29c4b0bc5648a6aa8612432df829008931b3e34bf56