Google Threat Intelligence (GTIG) обнаружила новое вредоносное ПО под названием LOSTKEYS, связывая его с группой COLDRIVER, признаваемой за фишинг учетных данных у высокопоставленных лиц и неправительственных организаций.
Описание
LOSTKEYS крадет файлы и отправлять системную информацию злоумышленнику. COLDRIVER атакует через личные адреса электронной почты, крадет учетные данные, пересылает электронные письма и пытается получить доступ к файлам системы. Группа COLDRIVER нацелена на действующих и бывших советников, журналистов, аналитические центры и людей, связанных с Украиной.
Начало многоступенчатого заражения LOSTKEYS происходит с подложным CAPTCHA. Шаги цепочки заражения включают выполнение PowerShell, обход устройства путем вычисления MD5-хэша разрешения дисплея и получение конечной полезной нагрузки через генерацию PowerShell.
COLDRIVER используют социальную инженерию, такую как техника "ClickFix" с PowerShell, для заражения целей. Последующие этапы цепочки заражения LOSTKEYS включают декодирование блоба в Base64 и получение VBS-файла, именуемого LOSTKEYS, который является частью вредоносной программы.
Индикаторы компрометации
IPv4
- 165.227.148.68
- 80.66.88.67
Domains
- cloudmediaportal.com
- njala.dev
SHA256
- 02ce477a07681ee1671c7164c9cc847b01c2e1cd50e709f7e861eaab89c69b6f
- 13f7599c94b9d4b028ce02397717a1282a46f07b9d3e2f8f2b3213fa8884b029
- 28a0596b9c62b7b7aca9cac2a07b067109f27d327581a60e8cb4fab92f8f4fa9
- 3233668d2e4a80b17e6357177b53539df659e55e06ba49777d0d5171f27565dd
- 4c7accba35edd646584bb5a40ab78f963de45e5fc816e62022cd7ab1b01dae9c
- 6b85d707c23d68f9518e757cc97adb20adc8accb33d0d68faf1d8d56d7840816
- 6bc411d562456079a8f1e38f3473c33ade73b08c7518861699e9863540b64f9a
- 8af28bb7e8e2f663d4b797bf3ddbee7f0a33f637a33df9b31fbb4c1ce71b2fee
- b55cdce773bc77ee46b503dbd9430828cc0f518b94289fbfa70b5fbb02ab1847