Группа угроз Stately Taurus, связанная с кибератаками на страны Юго-Восточной Азии, использовала вредоносную программу Bookworm, анализ информации и инфраструктуры, связанных с этой группой, показал сходство с инфраструктурой Bookworm. Были обнаружены данные из открытых источников, подтверждающие дополнительную активность Stately Taurus в регионе, включая атаки в Мьянме.
Описание
Ранее Stately Taurus использовала вредоносное ПО PubLoad и технику боковой загрузки DLL для выполнения своих атак. Семейство вредоносных программ PubLoad уникально для этой группы угроз. До обнаружения совпадений с инфраструктурой Stately Taurus, не было известных связей этой группы со вредоносной программой Bookworm.
В результате анализа активности Stately Taurus в Мьянме было обнаружено использование файлов с названием BrMod104.dll и вредоносной полезной нагрузки PubLoad, связывающейся с C2-сервером по прямому подключению к IP-адресу 123.253.32[.]15. Техника маскировки под легитимные запросы была использована в виде использования www.asia.microsoft.com в поле host в HTTP-запросе.
Были обнаружены архивные файлы, которые вероятно использовались в атаках Stately Taurus. Также были обнаружены ранее неизвестные полезные нагрузки, связанные с той же структурой URL для C2-серверов, которая используется группой Stately Taurus.
Эти полезные нагрузки включают в себя загрузчики, содержащие шелл-коды. Шелл-коды форматируются и выполняются с использованием функций обратного вызова легитимных функций API.
Indicators of Compromise
IPv4
- 123.253.32.15
- 123.253.35.231
Domains
- update.fjke5oe.com
- www.b8pjmgd6.com
- www.fjke5oe.com
- www.ggrdl4.com
- www.gm4rys.com
- www.hbsanews.com
- www.i5y3dl.com
- www.zimbra.page
SHA256
- 167a842b97d0434f20e0cd6cf73d07079255a743d26606b94fc785a0f3c6736e
- 243b92959cd9aa03482f3398fbe81b4874c50a5945fe6b0c0abb432a33db853f
- 2bae8b07f5098e1ca8fb5a5776eb874072ace4e19734cba4af4450eeccde7f89
- 3cef0b5f069cc1d15d36aa83d54d2a7be79b29b02081b6592dd4714639ad0a66
- 3e137da41cb509412ee230c6d7aac3d69361358b28c3a09ec851d3c0f3853326
- 41276827827b95c9b5a9fbd198b7cff2aef6f90f2b2b3ea84fadb69c55efa171
- 43de1831368e6420b90210e15f72cea9171478391e15efdd608ad22fe916cea8
- 4a92fa725adc57d7b501f33e87230a8291cf8ad22d4d3a830293abcc0ac10d12
- 4b6f0ae4abc6b73a68d9ee5ad9c0293baa4e7e94539ea43c0973677c0ee7f8cb
- 4e8717c9812318f8775a94fc2bffcf050eacfbc30ea25d0d3dcfe61b37fe34bb
- 4fbfbf1cd2efaef1906f0bd2195281b77619b9948e829b4d53bf1f198ba81dc5
- 5064b2a8fcfc58c18f53773411f41824b7f6c2675c1d531ffa109dc4f842119b
- 51bf329ba04a042789bad3b395092488a3d89130dc72818985cde11fb85f8389
- 6804b10aefe8fdb2b33ecf3bc5a93f49413ef66001b561e6fc121990d703d780
- 72aa72a4a4bdb09146c587304c6639eae65900cb2ea26911540a77d1f9b7acf6
- 9192a1c1ab42186a46e08b914d66253440af2d2be6b497c34fe4b1770c3b5e01
- 98d6db9b86d713485eb376e156d9da585f7ac369816c4c6adb866d845ac9edc7
- a02766b3950dbb86a129384cf9060c11be551025a7f469e3811ea257a47907d5
- a0887fa90f88dd002b025a97b3a57e4fdb7f5fdd725490d96776f8626f528ef2
- a229a2943cf8d1b073574f0c050ca06392d0525b2028f4b4b04d1e4b40110c66
- a2452456eb3a1a51116d9c2991aae3b0982acc1a9b30efee92a4f102dc4d2927
- ab54af1dbe6a82488db161a7f57cd74f2dd282a9522587f18313b4e9835dc558
- b7e042d2accdf4a488c3cd46ccd95d6ad5b5a8be71b5d6d76b8046f17debaa18
- bbf12ee2cd71dbcf2948adf64f354ad7c69d6b6ff0b78ea76b3df2d02b08ed0f
- cf61b7a9bdde2a39156d88f309f230a7d44e9feaf0359947e1f96e069eca4e86
- d7dbfb2b755418842fea4fca5628f0b36bbd128a71ddcd858b4b3c67ba78f516
- da8ef50fe5e571d0143a758c7c66bb55653f1f2d04f16464fc857226441d79b2
- dcc349a1b624f6b949f181a7dd859a82715b4d3b6c37c7e5be1b729cd8e6f01f
- eb176117650d6a2d38ff435238c5e2a6d0f0bb2a9e24efed438a33d8a2e7a1ea
- f0df09513dcf292264b3336269952c7e9ff685df8180a2035bee9f3143b36609
- f7b024196ac50bd0f7ed362a532e83edf154bb60fcf24d0ab5297d0c6beaca0f
- fa739724a4b6f7a766a2d7695d7da7b33a6ac834672c1b544dd555c93600a637
- fb25a69ffc18b79ee664462e0717cf5e70820948d5d2ca4c192fac8b1ede91c2
- fbc67446daaa0a0264ed7a252ab42413d6a43c2e5ab43437c2b3272daec85e81
- fdad627a21a95ea2a6136c264c6a6cc2f0910a24881118b6eabc2d6509dc8dd7
