В 2023 году сайт, связанный с медиа, стал жертвой этой атаки. В результате атаки злоумышленники загружали вредоносное ПО на компьютеры пользователей через подделанный веб-сайт. Атака начиналась с загрузки LZH-файла, который затем выполнял LNK-файл, содержащий вредоносное ПО.
SQRoot Stealer
На зараженном веб-сайте был встроен JavaScript, который загружал вредоносное ПО на компьютеры пользователей при входе на сайт с определенной учетной записью. Пользователям, которые не могли извлечь LZH-файл, предлагалась ссылка на загрузку легитимного программного обеспечения для его распаковки.
Вредоносное ПО, загружаемое в ходе атаки, содержалось в LNK-файле. Внутри LNK-файла находился ZIP-файл, содержащий вредоносную программу и VBS-файл для ее извлечения. ZIP-файл содержал также легитимный файл iusb3mon.exe и две DLL. Одна из DLL-файлов добавляла сессию под названием newimp и загружала вредоносную программу dmiapi32.dll.
Вредоносное ПО, SQRoot, загружало плагины с сервера C2, чтобы расширить свою функциональность. Загружаемые плагины включали RAT (Remote Access Trojan) и shell-коды. SQRoot отправлял зашифрованную информацию о клиенте при взаимодействии с сервером C2. Он также ограничивал время общения с сервером с 9:00 до 18:00 с понедельника по пятницу и маскировал свое взаимодействие с сервером C2 под обычный веб-доступ.
Помимо SQRoot, на зараженных хостах обнаружено еще одно вредоносное ПО, известное как SQRoot Stealer, которое предназначено для кражи информации. SQRoot Stealer работает аналогично SQRoot, загружая плагины для расширения своей функциональности, включая keylogger и функции захвата экрана.
Атрибуция группы злоумышленников, стоявшей за этой атакой на "водяную дыру" в 2023 году, до сих пор неизвестна. Однако были подтверждены некоторые имена файлов, используемых в атаке, такие как nvSmart.exe, nvsmartmax.dll, iusb3mon.exe, iusb3mon.dll.
Indicators of Compromise
IPv4
- 158.247.192.54
Domains
- dict.digibulk.live
- gogo.qiohanwy.store
- mnc.poiuuioq.space
SHA256
- 0be4b77b667af42771189d697644b1760ce7c3d341a0d8d06fed0a81c4a1e253
- 154cbce8afc48bc6d0f59726250fe7b9981ecdd0ce44fad48a3a662e3eb64135
- 41de808ce98285d750766d2a5b96cb8ddd972e282501dede2d5032de380f2146
- 6988afa7950e0cecdc24e472f7e31ce855a29458c3b908554bf473686a97069b
- a30943c524cbf5989ca74d3d78709d40a82da2bc760afe938fa76cd21c443484
- bb0c9d80220a93c2f9fe442f3a2ef2b41db44d9367483c8f22a25732478af82a
- f4cd4b51df47ba50c870657ff094c3355a6567f3cc77abcc4894cdaf57b2f0bd