Roaming Mantis APT IOCs

security IOC

После поражения Германии, Тайваня, Южной Кореи, Японии, США и Великобритании операция Roaming Mantis перешла к атакам на пользователей Android и iOS во Франции, в результате чего, вероятно, были скомпрометированы десятки тысяч устройств.

Roaming Mantis

Считается, что Roaming Mantis - это финансово мотивированная угроза, которая начала атаковать европейских пользователей в феврале.

В рамках недавно замеченной кампании угроза использует SMS-рассылку, чтобы заманить пользователей и заставить их загрузить вредоносное ПО на свои устройства Android. Если потенциальная жертва использует iOS, она перенаправляется на фишинговую страницу для получения учетных данных Apple.

В опубликованном отчете исследователи из компании SEKOIA, специализирующейся на кибербезопасности, сообщают, что группа Roaming Mantis теперь сбрасывает на устройства Android полезную нагрузку XLoader (MoqHao) - мощное вредоносное ПО, включающее такие функции, как удаленный доступ, кража информации и SMS-спам.

Текущая кампания Roaming Mantis направлена на французских пользователей и начинается с SMS-сообщения, отправленного потенциальным жертвам и призывающего их перейти по URL-адресу.

В SMS сообщается об отправленном им пакете, который необходимо просмотреть и организовать его доставку.

Если пользователь находится во Франции и использует устройство iOS, он попадает на фишинговую страницу, где похищаются учетные данные Apple. Пользователи Android попадают на сайт, который доставляет установочный файл для мобильного приложения (Android Package Kit - APK).

Для пользователей за пределами Франции серверы Roaming Mantis выдают ошибку 404, и атака прекращается.

APK запускается и имитирует установку Chrome, запрашивая рискованные разрешения, такие как перехват SMS, совершение телефонных звонков, чтение и запись в память, обработка системных предупреждений, получение списка учетных записей и многое другое.

Командно-контрольная (C2) конфигурация извлекается из жестко закодированных мест назначения профилей Imgur, которые кодируются в base64, чтобы избежать обнаружения.

SEKOIA подтвердила, что на данный момент более 90 000 уникальных IP-адресов запросили XLoader с главного сервера C2, поэтому число жертв может быть значительным.

Количество пользователей iOS, которые передали свои учетные данные Apple iCloud на фишинговой странице Roaming Mantis, неизвестно и может быть таким же или даже больше.

Аналитики SEKOIA сообщают, что инфраструктура Roaming Mantis практически не изменилась с момента последнего анализа, проведенного командой Cymru в апреле этого года.

Серверы по-прежнему имеют открытые порты TCP/443, TCP/5985, TCP/10081 и TCP/47001, а те же сертификаты, которые были замечены в апреле, по-прежнему используются.

"Домены, используемые в SMS-сообщениях, либо зарегистрированы на Godaddy, либо используют динамические DNS-сервисы, такие как duckdns.org", - объясняет SEKOIA в отчете.

В наборе вторжений используется более сотни субдоменов, и десятки FQDN разрешают каждый IP-адрес.

Интересно, что операция smishing (SMS-фишинг) опирается на отдельные C2-серверы от тех, которые использует XLoader, и аналитики смогли идентифицировать девять из них, размещенных на автономных системах EHOSTIDC и VELIANET.

Indicators of Compromise

IPv4

  • 103.249.28.206
  • 103.249.28.207
  • 103.249.28.208
  • 103.249.28.209
  • 103.80.134.26
  • 103.80.134.27
  • 103.80.134.29
  • 103.80.134.30
  • 103.80.134.31
  • 103.80.134.33
  • 103.80.134.34
  • 103.80.134.37
  • 103.80.134.38
  • 103.80.134.40
  • 103.80.134.41
  • 103.80.134.42
  • 103.80.134.51
  • 103.80.134.52
  • 103.80.134.53
  • 103.80.134.54
  • 103.80.134.55
  • 103.80.134.58
  • 115.91.26.2
  • 134.119.193.106
  • 134.119.193.108
  • 134.119.193.109
  • 134.119.193.110
  • 134.119.205.18
  • 134.119.205.21
  • 134.119.205.22
  • 142.0.136.49
  • 142.0.136.50
  • 142.0.136.52
  • 142.4.97.105
  • 142.4.97.106
  • 142.4.97.107
  • 142.4.97.108
  • 142.4.97.109
  • 146.0.74.157
  • 146.0.74.197
  • 146.0.74.199
  • 146.0.74.202
  • 146.0.74.203
  • 146.0.74.205
  • 146.0.74.206
  • 146.0.74.228
  • 172.81.131.10
  • 172.81.131.11
  • 172.81.131.12
  • 172.81.131.13
  • 172.81.131.14
  • 192.51.188.101
  • 192.51.188.103
  • 192.51.188.106
  • 192.51.188.107
  • 192.51.188.108
  • 192.51.188.109
  • 192.51.188.111
  • 192.51.188.14
  • 192.51.188.142
  • 192.51.188.145
  • 192.51.188.146
  • 27.124.36.32
  • 27.124.36.34
  • 27.124.36.52
  • 27.124.39.241
  • 27.124.39.242
  • 27.124.39.243
  • 61.97.248.6
  • 61.97.248.7
  • 61.97.248.8
  • 61.97.248.9
  • 91.204.227.19
  • 91.204.227.20
  • 91.204.227.21
  • 91.204.227.22
  • 91.204.227.23
  • 91.204.227.24
  • 91.204.227.25
  • 91.204.227.26
  • 91.204.227.27
  • 91.204.227.28
  • 91.204.227.79
  • 91.204.227.80
  • 91.204.227.81
  • 91.204.227.82
  • 91.204.227.83
  • 91.204.227.84
  • 92.204.248.66
  • 92.204.255.172

Domains

  • bswhd.mrheu.com
  • coqrf.xpddg.com
  • gesee.udsuc.com
  • mrheu.com
  • udsuc.com
  • xpddg.com
  • znjjq.udsuc.com

MD5

  • 0aaf6aa859fbdb84de20bf4bf28a02f1
  • 19c4be7d5d8bf759771f35dec45f267a
  • 2942ca2996a80ab807be08e7120c2556
  • 2e7acc13e9a9911cb5dd4057c5f0c343
  • 4fbc28088b9bf82dcb3bf42fe1fc1f6d
  • 527b5eebb6dbd3d0b777c714e707659c
  • 5bafe0e5a96b1a0db291cf9d57aab0bc
  • ddd131d7f0918ece86cc7a68cbacb37d

SHA1

  • 293165e4734e4a7dfcac8887034526a0733eeefd

SHA256

  • 83ba2b1c0352ea9988edeb608abf2c037b1f30482bbc05c3ae79265bab7a44c9
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий