Главная страница » IOC
0
2 года
IOC

Hagga (Aggah) APT IOCs

security

Центр экстренного реагирования hnLab Security Emergency response Center (ASEC) подтвердил случаи использования записей DNS TXT в процессе выполнения вредоносных программ.

Hagga (Aggah) APT

Запись DNS TXT - это функция, позволяющая администраторам доменов вводить текст в DNS. Изначально предназначенная для ввода человекочитаемых заметок, запись DNS TXT сейчас используется для отображения различных типов информации, сохраненной в DNS, например, для предотвращения спама в электронной почте, проверки владения доменом и т. д.

Краткое объяснение двух основных целей записей DNS TXT, а именно

  1. предотвращение спама в электронной почте
  2. проверка владения доменом, выглядит следующим образом: Субъекты угроз, рассылающие спам по электронной почте, часто пытаются замаскировать (подделать) домен, с которого отправляется спам. В таких случаях сервер, получающий электронную почту, выполняет процесс проверки, чтобы определить, исходит ли письмо от надежного источника. Ключевым элементом, используемым в этом процессе, является запись DNS TXT.

Во-вторых, администраторы доменов могут доказать свое право собственности на домен, загрузив запись TXT, содержащую определенную информацию, или изменив существующую запись TXT.

Однако метод использования записей DNS TEXT вредоносным ПО, представленный в этой статье, несколько отклоняется от вышеупомянутого общего направления, в котором обычно используются записи DNS TXT. Вместо этого его можно считать более близким к первоначальному назначению - вводу информации, связанной с DNS.

Угрожающий агент прикрепил файл дополнения PowerPoint (PPAM), выдавая его за "Запрос заказа" в фишинговом письме. Файлы PPAM - это файлы дополнений, которые могут быть выполнены в PowerPoint и содержат специальные функции, такие как пользовательские макросы и код VBA. Когда макрос PowerPoint выполняется, в дереве процессов ниже видно, что инструмент управления nslookup выполняется через PowerShell.

Существующий в файле PPAM, довольно прост. После выполнения макроса выполняется короткая команда, где PowerShell используется для запуска инструмента nslookup, после чего запрашивается TXT-запись DNS. Хотя код макроса не обфусцирован и его содержание очень простое, стоит отметить один примечательный аспект: угрожающий субъект включил команду выполнения следующего желаемого процесса в запись DNS TXT.

По этому признаку можно предположить, что объект угрозы предпринимает различные попытки запустить дочерние процессы, чтобы избежать обнаружения продуктами защиты от вредоносного ПО.

Однако при проверке DNS TXT-записи сервера агента угрозы (abena-dk[.]cam) можно увидеть данные, которые значительно отличаются от типичных целей DNS TXT-записей. Из этого можно сделать вывод, что агент угроз создал различные поддомены и провел множество тестов, включая выполнение калькулятора (calc.exe) и использование файлов VBScript (vbs) вместо файлов JavaScript (js).

Агент угроз загрузил различные команды в свою запись DNS TXT, такие как команды PowerShell, что позволило им выполняться при запросе записи DNS TXT через nslookup. Вместо того чтобы просто записать команду PowerShell в код макроса, агент угроз использовал новый метод, включающий использование инструмента nslookup для выполнения вредоносного ПО.

Впоследствии файл methewPayload.js в URL команды PowerShell сохраняется как meth.js перед выполнением через wscript.exe. Файл meth.js загружает двоичный файл в Base64-кодировке с другого внешнего URL через PowerShell.

Base64-кодированные данные, которые можно получить с внешнего URL-адреса, представляют собой двоичный файл DLL. Это не недавно обнаруженный тип вредоносного ПО, а скорее созданный хакерской группой, известной как Hagga (Aggah), которая циркулирует со второй половины 2021 года. Субъект угрозы был вычислен на основе общей тактики, методов и процедур (TTP), таких как попытка первоначального распространения с использованием файлов документов, встроенных в вредоносные макросы, имена характерных функций и переменных, которые можно найти в известном коде на базе .NET, использование функции StrReverse, а также способ загрузки дополнительных вредоносных файлов из внешнего источника перед их выполнением в памяти. Дополнительный загруженный вредоносный файл был идентифицирован как Infostealer на базе .NET, подобный AgentTesla.

Indicators of Compromise

 URLs

  • http://abena-dk.cam
  • http://blessed.abena-dk.cam
  • http://calc.abena-dk.cam
  • http://methew.abena-dk.cam
  • https://bitbucket.org/mounmeinlylo/rikirollin/downloads/blessed_Payload.js
  • https://bitbucket.org/mounmeinlylo/rikirollin/downloads/methewPayload.js
  • https://bitbucket.org/mounmeinlylo/rikirollin/downloads/test_Payload.vbs
  • https://firebasestorage.googleapis.com/v0/b/fir-8c14f.appspot.com/o/rumpe_js.txt?alt=media&token=0ebb3747-9f9d-427c-a6fd-d0c057ba176e

MD5

  • 2a59f2a51b96d9364e10182a063d9bec
  • 4a647e9baffe95acb9e2ec989b23808b
  • f6b8a4c6ed15a1a17896797ce3fe2440
Комментарии: 0
Похожие записи
0
3 дня
IOC

Кампания CrazyHunter нацелена на критически важные секторы экономики Тайваня

security
Группа вымогателей CrazyHunter стала серьезной угрозой для организаций в Тайване, особенно в сферах здравоохранения, образования и промышленности. Они используют сложные техники, такие как метод "принеси
0
5 дней
IOC

Slow Pisces нацелился на разработчиков с проблемами кодирования и представил новое специализированное вредоносное ПО на Python

security
Slow Pisces - это северокорейская киберпреступная группа, спонсируемая государством КНДР. Они в основном занимаются кражей криптовалюты, нападая на крупные организации в криптовалютном секторе.