RedLine Stealer IOCs - Part 26

Spyware IOC

Обнаружена новая атака, направленная на пользователей нелицензионного корпоративного программного обеспечения для автоматизации бизнес-процессов. Злоумышленники распространяют свои вредоносные активаторы на бухгалтерских форумах, маскируя их под новые версии активатора HPDxLIB. Вредоносные варианты используют в разработке .NET и имеют новый самоподписанный сертификат со специфическим отпечатком пальца. В отличие от «чистых» версий активатора, которые написаны на C++ и подписаны действительным сертификатом, вредоносные варианты содержат скрытый стилер RedLine.

RedLine Stealer

Злоумышленники размещают ссылки на вредоносные активаторы на специализированных форумах, предоставляя подробную информацию о том, как обойти проверку лицензии, не упоминая о вредоносной полезной нагрузке. Некоторые форумы стали предупреждать пользователей о наличии стилера RedLine в сборке HPDxLIB, однако инструкции по-прежнему призывают пользователей отключать защиту и добавлять вредоносные файлы в исключения.

Процесс заражения заключается в замене легитимной библиотеки techsys.dll на версию из активатора. При запуске исправленной версии корпоративного ПО легитимный процесс 1cv8.exe загружает вредоносную библиотеку, которая затем запускает стиллер. Злоумышленники не используют уязвимости в самом корпоративном ПО, а пользуются доверчивостью жертвы.

Внутри вредоносной библиотеки techsys.dll находится еще одна DLL, хранящаяся в виде ресурса. В ранних версиях ресурс не сжимается, но в более поздних он сжимается с помощью алгоритма Deflate. Эта библиотека ресурсов содержит зашифрованную вредоносную полезную нагрузку - стайлер RedLine. Зашифрованный блок данных шифруется XOR-шифрованием с заданным значением ключа, а затем кодируется с помощью алгоритма Base85. Однако при декодировании закодированных данных получается несвязанный набор данных с высокой энтропией, что свидетельствует о наличии еще одного уровня шифрования. С помощью динамического анализа было установлено, что на этом уровне используется AES в режиме CBC с размером ключа 256 бит.

Криптографические параметры AES-256-CBC генерируются с использованием XOR-шифрованных строк и заранее заданных констант в качестве ключа. Для получения ключа вычисляется хэш-сумма определенной строки с помощью алгоритма SHA-512 и берутся первые 32 байта результата. Аналогичная процедура используется для получения вектора инициализации, при этом используются только первые 16 байт хэша.

После расшифровки данных, закодированных в Base85, получается конечная полезная нагрузка - стайлер RedLine. Он сжимается с помощью алгоритма Deflate, затем распаковывается и загружается с помощью вызова Assembly.Load().

Стайлер RedLine распространяется по модели Malware-as-a-Service, когда злоумышленники предлагают его в качестве сервиса другим злоумышленникам. Продолжающаяся кампания представляет угрозу для пользователей нелицензионного программного обеспечения, поскольку продолжает распространять вредоносные активаторы.

Indicators of Compromise

IPv4 Port Combinations

  • 213.21.220.222:8080

MD5

  • 1e0063b86665b824f5122b916733b190
  • 20f036d7ede6ba59b5cb16a3a81f337c
  • 2a81e1ce4db9f25577a86744be60a853
  • 31538e09545f89a26881d9b6158685fe
  • 3460e0257c0bd662e51e8dfdefbbcb56
  • 4909f24b7221e87b0c903d5b37d69dce
  • 4bf35488cc7edeec65e9f6f2b5c155cc
  • 5579ca3bc1820615b0af1759d1b78520
  • 777fa58b02126c420252a60d4716635f
  • 917af383b32586ba1a8ecb2058f17887
  • 91c9aa2291bf147cad94ef73efcb7815
  • a93d65a55842138faf6516edf1e0c9df
  • c0dd226564fa98684d10ce5a9f4fb8dd
  • c4450d22c842554d10c0ef6c925e2cbe
  • cbdaa5e11c2522fbbef57acc83014dc6
  • ce11dfcf2c1817e5911b58e24af316d6
  • d63579ea9ec4bd2ab01a60d0ce2d2722
  • e0057ae14461e3b8a78e37ec22be695a
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий