После поражения Германии, Тайваня, Южной Кореи, Японии, США и Великобритании операция Roaming Mantis перешла к атакам на пользователей Android и iOS во Франции, в результате чего, вероятно, были скомпрометированы десятки тысяч устройств.
Roaming Mantis
Считается, что Roaming Mantis - это финансово мотивированная угроза, которая начала атаковать европейских пользователей в феврале.
В рамках недавно замеченной кампании угроза использует SMS-рассылку, чтобы заманить пользователей и заставить их загрузить вредоносное ПО на свои устройства Android. Если потенциальная жертва использует iOS, она перенаправляется на фишинговую страницу для получения учетных данных Apple.
В опубликованном отчете исследователи из компании SEKOIA, специализирующейся на кибербезопасности, сообщают, что группа Roaming Mantis теперь сбрасывает на устройства Android полезную нагрузку XLoader (MoqHao) - мощное вредоносное ПО, включающее такие функции, как удаленный доступ, кража информации и SMS-спам.
Текущая кампания Roaming Mantis направлена на французских пользователей и начинается с SMS-сообщения, отправленного потенциальным жертвам и призывающего их перейти по URL-адресу.
В SMS сообщается об отправленном им пакете, который необходимо просмотреть и организовать его доставку.
Если пользователь находится во Франции и использует устройство iOS, он попадает на фишинговую страницу, где похищаются учетные данные Apple. Пользователи Android попадают на сайт, который доставляет установочный файл для мобильного приложения (Android Package Kit - APK).
Для пользователей за пределами Франции серверы Roaming Mantis выдают ошибку 404, и атака прекращается.
APK запускается и имитирует установку Chrome, запрашивая рискованные разрешения, такие как перехват SMS, совершение телефонных звонков, чтение и запись в память, обработка системных предупреждений, получение списка учетных записей и многое другое.
Командно-контрольная (C2) конфигурация извлекается из жестко закодированных мест назначения профилей Imgur, которые кодируются в base64, чтобы избежать обнаружения.
SEKOIA подтвердила, что на данный момент более 90 000 уникальных IP-адресов запросили XLoader с главного сервера C2, поэтому число жертв может быть значительным.
Количество пользователей iOS, которые передали свои учетные данные Apple iCloud на фишинговой странице Roaming Mantis, неизвестно и может быть таким же или даже больше.
Аналитики SEKOIA сообщают, что инфраструктура Roaming Mantis практически не изменилась с момента последнего анализа, проведенного командой Cymru в апреле этого года.
Серверы по-прежнему имеют открытые порты TCP/443, TCP/5985, TCP/10081 и TCP/47001, а те же сертификаты, которые были замечены в апреле, по-прежнему используются.
"Домены, используемые в SMS-сообщениях, либо зарегистрированы на Godaddy, либо используют динамические DNS-сервисы, такие как duckdns.org", - объясняет SEKOIA в отчете.
В наборе вторжений используется более сотни субдоменов, и десятки FQDN разрешают каждый IP-адрес.
Интересно, что операция smishing (SMS-фишинг) опирается на отдельные C2-серверы от тех, которые использует XLoader, и аналитики смогли идентифицировать девять из них, размещенных на автономных системах EHOSTIDC и VELIANET.
Indicators of Compromise
IPv4
- 103.249.28.206
- 103.249.28.207
- 103.249.28.208
- 103.249.28.209
- 103.80.134.26
- 103.80.134.27
- 103.80.134.29
- 103.80.134.30
- 103.80.134.31
- 103.80.134.33
- 103.80.134.34
- 103.80.134.37
- 103.80.134.38
- 103.80.134.40
- 103.80.134.41
- 103.80.134.42
- 103.80.134.51
- 103.80.134.52
- 103.80.134.53
- 103.80.134.54
- 103.80.134.55
- 103.80.134.58
- 115.91.26.2
- 134.119.193.106
- 134.119.193.108
- 134.119.193.109
- 134.119.193.110
- 134.119.205.18
- 134.119.205.21
- 134.119.205.22
- 142.0.136.49
- 142.0.136.50
- 142.0.136.52
- 142.4.97.105
- 142.4.97.106
- 142.4.97.107
- 142.4.97.108
- 142.4.97.109
- 146.0.74.157
- 146.0.74.197
- 146.0.74.199
- 146.0.74.202
- 146.0.74.203
- 146.0.74.205
- 146.0.74.206
- 146.0.74.228
- 172.81.131.10
- 172.81.131.11
- 172.81.131.12
- 172.81.131.13
- 172.81.131.14
- 192.51.188.101
- 192.51.188.103
- 192.51.188.106
- 192.51.188.107
- 192.51.188.108
- 192.51.188.109
- 192.51.188.111
- 192.51.188.14
- 192.51.188.142
- 192.51.188.145
- 192.51.188.146
- 27.124.36.32
- 27.124.36.34
- 27.124.36.52
- 27.124.39.241
- 27.124.39.242
- 27.124.39.243
- 61.97.248.6
- 61.97.248.7
- 61.97.248.8
- 61.97.248.9
- 91.204.227.19
- 91.204.227.20
- 91.204.227.21
- 91.204.227.22
- 91.204.227.23
- 91.204.227.24
- 91.204.227.25
- 91.204.227.26
- 91.204.227.27
- 91.204.227.28
- 91.204.227.79
- 91.204.227.80
- 91.204.227.81
- 91.204.227.82
- 91.204.227.83
- 91.204.227.84
- 92.204.248.66
- 92.204.255.172
Domains
- bswhd.mrheu.com
- coqrf.xpddg.com
- gesee.udsuc.com
- mrheu.com
- udsuc.com
- xpddg.com
- znjjq.udsuc.com
MD5
- 0aaf6aa859fbdb84de20bf4bf28a02f1
- 19c4be7d5d8bf759771f35dec45f267a
- 2942ca2996a80ab807be08e7120c2556
- 2e7acc13e9a9911cb5dd4057c5f0c343
- 4fbc28088b9bf82dcb3bf42fe1fc1f6d
- 527b5eebb6dbd3d0b777c714e707659c
- 5bafe0e5a96b1a0db291cf9d57aab0bc
- ddd131d7f0918ece86cc7a68cbacb37d
SHA1
- 293165e4734e4a7dfcac8887034526a0733eeefd
SHA256
- 83ba2b1c0352ea9988edeb608abf2c037b1f30482bbc05c3ae79265bab7a44c9