HarfangLab обнаружила подозрительную инфраструктуру, предположительно нацеленной на израильское правительство. Был обнаружен давно существующий домен, который на текущий момент используется в качестве командно-контрольного сервера для атак на израильское правительство. При анализе цепочки вредоносных программ, связанных с этой инфраструктурой, было выявлено, что она представляет собой смесь общедоступных вредоносных программ с некоторой собственной разработкой. Атаки с использованием общих методов также были обнаружены в конце 2023 года, когда они были направлены против частных компаний.
Анализированные атакующие кампании выглядят очень целенаправленными, используются целевая инфраструктура и пользовательские веб-сайты WordPress для доставки вредоносных программ, но затрагивают различные организации в несвязанных вертикалях, используя известные вредоносные программы с открытым исходным кодом. Учитывая отсутствие признаков легальной компании, занимающейся тестированием на проникновение, авторы отчета считают возможным, что эти атаки могут быть частью легальных операций по тестированию на проникновение. Однако такую гипотезу не удалось подтвердить, и они считают, что обнаруженная активность требует внимания сообщества кибербезопасности.
Анализ цепочки заражения начался с доставки вредоносной программы через VHD-файл с названием vacation5.vhd. Начальная полезная нагрузка содержит несколько скрытых файлов, включая файл-обманку, которая делает жертву думать, что нажала на файл изображения. Далее, все связанные с вредоносной программой файлы перемещаются во временную папку, и запускается вредоносная программа первого этапа.
Наблюдается также использование загрузчика Nim первой стадии, который представляет собой простейший загрузчик, написанный на языке Nim и предназначенный для загрузки второй стадии вредоносной программы. Авторы отчета заметили, что данная атака выглядит как собственная разработка злоумышленников.
Indicators of Compromise
Domains
- auth.economy-gov-il.com
- carls.employers-view.com
- employees.carlsberg.site
- login.carlsberg.site
- login.microsofonlline.com
- login.operative-sintecmedia.com
- portal.carlsberg.site
- portal.operative-sintecmedia.com
- www.economy-gov-il.com
URLs
- https://auth.economy-gov-il.com/SUPPOSED_GRASSHOPPER.bin?token=ghhdjsdgsd
- https://employees.carlsberg.site/voucher.vhd
- https://portal.operative-sintecmedia.com/report.vhd
- https://portal.operative-sintecmedia.com/SAD_ATTENUATION.bin
SHA256
- 2070dd30e87c492e6f44ebb0a37bcae7cb309de61e1c4e6223df090bb26b3cd7
- 6fb531839410b65be4f4833d73f02429b4dba8ed56fa236cce76750b9a1be23b
- a8948dd8e4e4961da537b40bf7e313f0358510f93e25dea1a2fafd522bfd0e84
- c21ad804c22a67ddb62adf5f6153a99268f0b26e359b842ebeabcada824c277f
- d7a66f8529f1c32342c4ed06c4a4750a93bd44161f578e5b94d6d30f7cc41581
- d891f4339354d3f4c4b834e781fa4eaca2b59c6a8ee9340cc489ab0023e034c8
