IMEEX Framework IOCs - Part 2

security IOC

Фреймворк IMEEX - это недавно обнаруженная вредоносная программа для атак на системы Windows. Он представляет собой 64-битную DLL и предоставляет злоумышленникам широкий спектр возможностей для контроля за компрометированными машинами.

IMEEX Framework

Фреймворк позволяет выполнение дополнительных модулей, работу с файлами, управление процессами, модификацию реестра и удаленное выполнение команд. Он также собирает информацию о системе и передает ее на свой командно-контрольный сервер. IMEEX в основном нацелен на Джибути и Афганистан, хотя мы предполагаем, что есть возможность его использования и в других странах. Фреймворк IMEEX, вероятно, является частью организованной атакующей кампании, использующей передовые методы для избежания обнаружения.

Интересно, что есть признаки связи с платформой ShadowPad, которая используется несколькими китайскими группами угроз. Возможно, IMEEX является эволюцией тактики этих групп, поскольку оба используют модульный подход и имеют схожую инфраструктуру. Цель этого блога - детальный технический анализ фреймворка IMEEX, включая его функциональные возможности и способы маскировки под легитимные процессы.

Анализ образцов IMEEX показывает, что они были отправлены на VirusTotal из Джибути и Афганистана. На основании этого можно предположить, что IMEEX нацелен на эти регионы. Вредоносная программа маскируется под легитимные процессы, такие как svchost.exe или rundll32.exe, чтобы избежать обнаружения. Она также использует шифрование и защиту данных для связи с командно-контрольным сервером. IMEEX поддерживает операции с файлами, процессами и реестром, а также имеет модульную структуру, которая позволяет ему загружать и выполнять компоненты по требованию. Программа также обладает стойкостью и способностью скрывать свою присутствие на системе.

Изучая образцы фреймворка IMEEX, мы обнаружили, что они похожи друг на друга, с небольшими различиями в именах мьютексов и командно-контрольных доменах. Это указывает на то, что образцы, полученные из Джибути, представляют собой варианты, развернутые в рамках одной кампании. Также была обнаружена версия IMEEX из Афганистана со схожими функциональными возможностями. Общая кодовая база и присутствие подобных образцов могут указывать на стратегический поворот от ShadowPad к IMEEX, хотя точное связывание кампании с конкретной группой пока не возможно.

Indicators of Compromise

IPv4

  • 45.141.139.146

IPv4 Port Combinations

  • 45.141.139.146:443

Domains

  • bbsnews.sytes.net
  • erkinhorshiden.onedumb.com
  • yurtumawat.wwwhost.us

Domain Port Combinations

  • bbsnews.sytes.net:443
  • erkinhorshiden.onedumb.com:443
  • yurtumawat.wwwhost.us:443

SHA256

  • 3e25798da0232d9039e570fb34d4bdccf7f082fa38b486a097d954f5f3debab3
  • 6fcd206752cd87c26909ed3751b94eb8ef14cd1567d3757cae7fa0b89d3f77c7
  • 7a3113d3212605a33924ad16ab360b7d48cc94de0de1c1cf9dc44695d4a01648
  • 7d02ad54e4e56f34e59414f9b02397901fc61bb1158a31ab2586fe62564aeb93
  • 94b8a01ad4b53d202984afb6781d7f88cb5cd329349791516e985ea88e08ad66
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий