COLDRIVER используют новое вредоносное ПО для кражи документов у западных клиентов и неправительственных организаций

security

Google Threat Intelligence (GTIG) обнаружила новое вредоносное ПО под названием LOSTKEYS, связывая его с группой COLDRIVER, признаваемой за фишинг учетных данных у высокопоставленных лиц и неправительственных организаций.

Описание

LOSTKEYS крадет файлы и отправлять системную информацию злоумышленнику. COLDRIVER атакует через личные адреса электронной почты, крадет учетные данные, пересылает электронные письма и пытается получить доступ к файлам системы. Группа COLDRIVER нацелена на действующих и бывших советников, журналистов, аналитические центры и людей, связанных с Украиной.

Начало многоступенчатого заражения LOSTKEYS происходит с подложным CAPTCHA. Шаги цепочки заражения включают выполнение PowerShell, обход устройства путем вычисления MD5-хэша разрешения дисплея и получение конечной полезной нагрузки через генерацию PowerShell.

COLDRIVER используют социальную инженерию, такую как техника "ClickFix" с PowerShell, для заражения целей. Последующие этапы цепочки заражения LOSTKEYS включают декодирование блоба в Base64 и получение VBS-файла, именуемого LOSTKEYS, который является частью вредоносной программы.

Индикаторы компрометации

Содержание
  1. IPv4
  2. Domains
  3. SHA256

IPv4

  • 165.227.148.68
  • 80.66.88.67

Domains

  • cloudmediaportal.com
  • njala.dev

SHA256

  • 02ce477a07681ee1671c7164c9cc847b01c2e1cd50e709f7e861eaab89c69b6f
  • 13f7599c94b9d4b028ce02397717a1282a46f07b9d3e2f8f2b3213fa8884b029
  • 28a0596b9c62b7b7aca9cac2a07b067109f27d327581a60e8cb4fab92f8f4fa9
  • 3233668d2e4a80b17e6357177b53539df659e55e06ba49777d0d5171f27565dd
  • 4c7accba35edd646584bb5a40ab78f963de45e5fc816e62022cd7ab1b01dae9c
  • 6b85d707c23d68f9518e757cc97adb20adc8accb33d0d68faf1d8d56d7840816
  • 6bc411d562456079a8f1e38f3473c33ade73b08c7518861699e9863540b64f9a
  • 8af28bb7e8e2f663d4b797bf3ddbee7f0a33f637a33df9b31fbb4c1ce71b2fee
  • b55cdce773bc77ee46b503dbd9430828cc0f518b94289fbfa70b5fbb02ab1847
Комментарии: 0