Remcos, DarkGate и BrockenDoor

security IOC

Недавно было обнаружено, что вредоносные файлы используют технику переопределения справа налево (RLO). Эта техника использует управляющий символ Unicode (U+202E) для изменения порядка отображения текста. Злоумышленники пользуются этим, чтобы обмануть пользователей, заставив их думать, что файл или ссылка безопасны, замаскировав имя и расширение файла.

Описание

Популярные архиваторы, такие как 7-Zip, WinRAR и Windows Explorer, не обрабатывают этот символ подстановки, благодаря чему файлы, использующие RLO, реже распространяются в архивах. Дальнейшее изучение этих атак позволило выявить новый кластер вредоносной активности и определить схемы распространения таких бэкдоров, как Remcos, DarkGate и ранее неизвестное семейство BrockenDoor.

Атаки обычно начинаются с фишинговых писем, в которых злоумышленники выдают себя за компании, занимающиеся автоматизацией процессов, и отправляют письма с просьбой просмотреть техническую спецификацию в приложенном архиве. Изначально вредоносный архив содержал только один исполняемый файл, использующий технику RLO. Однако была обнаружена вариация атаки, которая включала другие файлы, такие как карточка компании, неработающий PDF-документ и LNK-файл.

Один из обнаруженных LNK-файлов содержал команду, которая при выполнении передавала вредоносный файл на исполнение утилите mshta.exe. Этот вредоносный файл представлял собой HTA-скрипт, разделенный на три части и скрытый между легитимными файлами dvdplay.exe. Скрипт загружал два дополнительных файла: документ-обманку и конечную вредоносную полезную нагрузку в виде бэкдора Remcos. Remcos - это троянец удаленного доступа (RAT), позволяющий злоумышленникам получить полный контроль над зараженной системой.

Другой ярлык привел к загрузке архива, содержащего интерпретатор скриптового языка AutoIt и скрипт. Этот скрипт распаковывал архив и запускал интерпретатор, что приводило к выполнению вредоносной программы DarkGate. DarkGate - это коммерческий загрузчик, который облегчает установку других вредоносных программ.

В случае с бэкдором Remcos было обнаружено, что он настроен на связь с определенными командными центрами и имеет в настройках идентификатор кампании и мьютекс. Кроме того, была обнаружена еще одна цепочка заражения с участием DarkGate, что свидетельствует об использовании различных техник и полезных нагрузок в этих атаках.

Эти находки свидетельствуют об эволюции методов, используемых злоумышленниками для распространения вредоносного ПО, и о том, как важно быть осторожными при работе с вложениями электронной почты и загрузке файлов из ненадежных источников. Очень важно постоянно обновлять последние исправления безопасности и использовать надежные меры защиты, чтобы снизить риск стать жертвой подобных атак.

Indicators of Compromise

IPv4

  • 194.87.252.40
  • 194.87.252.74
  • 45.151.62.66

Domains

  • Remote.hipool.shop
  • Snastiisani.xyz
  • Tnecharise.biz
  • tnecharise.me
  • webkruzjevo.site
  • Weventlog.store
  • Winmetrica.info
  • wmpssvc.online
  • Wuauserv.site

Domain Port Combinations

  • Weventlog.store:80
  • wmpssvc.online:8080
  • Wmpssvc.online:9080
  • wscsvc.online:4080

URLs

  • http://Wmiadap.cfd:6180/x
  • http://Wmiadap.sbs:6180/x

MD5

  • 081662478a85a8d5dc4c6191667b57c7
  • 0a7f371622896d6fe98ca4cecf384a77
  • 0cd75552f9f1750322e2660f5f4b12a0
  • 1bc0523bf62b072d7cb35fa5ba29bf67
  • 2faff746b3fa3fc39cee068c2f4b8225
  • 353302ef3297119ad7e15d131b85c04d
  • 35bd6ff114bbaeaa1b8f959e00042a33
  • 3645826d1f2bf59e6fa71e22559676c7
  • 3dcdbae24c81bef32d5062d5210da238
  • 3e5cd6018e40bfb258087139f7922df9
  • 415a4f8f6f5a8fca2cd1d8a2db9cd299
  • 514d54cb28d40a67a47cdadfea5aadfb
  • 582a296032901a28e2da9f024f90d4a0
  • 5b8f3cdc9f406d057e48ff5e33398719
  • 5f4b879537af29b224198d4e18399fe7
  • 6343560113d4fb9efe740f03b3d847f6
  • 6e1642ff15e966b4aabd8a7e7a62afb5
  • 8a6fb5adda210ed5df68755d4316e27b
  • 943f0607da181651ef79fc5472fbb8e2
  • 9546ed5d05d71230c263cc04b5928a70
  • 96d09190247304c54a4b2235acd549bd
  • a8e35c05fd6324119b719aca8ab85f57
  • bbd49c98771b26f571d19f852eb50032
  • c3d5c48e7e8cd11ab662dcb832088341
  • cab999df17597905d9fba571f4820e5c
  • d947ebd975257261fc8e8f5dc9729a81
  • de7dcce6672e86154cab335e59885834
  • e48ca8c77bd1aade0267b31e5e5c4b16
  • ead0ad5a55ef4c64f1be4eba7b2793b9
  • eed9223ff9bc5a20f5fa6114aa9cc6be
  • f3b658e97d4602729e2a4e4e5493ce29
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий