Исследователи из Технологического института SANS обнаружили новую угрозу, вызывающую сценарий PowerShell в цепочке атак, которая в итоге загружает шелл-код «Donuts». Этот шелл-код способен внедрять вредоносную полезную нагрузку в произвольные процессы Windows.
Атака начинается с небольшого .bat-файла с именем 3650.bat, который первоначально вызывает сценарий PowerShell для загрузки и распаковки серии ZIP-архивов. В исследовании не указан механизм первоначальной доставки этого файла. ZIP-архивы содержат полную среду Python с необходимыми библиотеками для выполнения следующего этапа. Следующий этап включает в себя загрузку и выполнение обфусцированного сценария Python.
В конечном итоге Python-скрипт находит и выполняет финальный шелл-код из памяти, сгенерированный с помощью Donut, и пытается установить связь с сервером C2 по адресу 160[.]30[.]21[.]115:7000.
Indicators of Compromise
IPv4 Port Combinations
- 160.30.21.115:7000
URLs
- https://oshi.at/awMj/update.ps1
- https://oshi.at/Nbmv/python.py
MD5
- f7ab9f15edbf8074cbb8347cf8b9f876
SHA1
- 58db0c5207437d6a6ec8923de94b9972e912b86b
SHA256
- bca5c30a413db21f2f85d7297cf3a9d8cedfd662c77aacee49e821c8b7749290
