В июле миллионы компьютеров по всему миру оказались выключенными из-за действий Falcon, представляющего компанию CrowdStrike. Это вызвало панику и ухватку злоумышленников, которые решили использовать ситуацию в свою пользу. Одна из таких групп злоумышленников - Handala - начала отправлять письма-приманки с вредоносным ПО израильским целям. Вредоносная программа - чистильщик, который уничтожает файлы на зараженном компьютере. Блоги проведенного расследования предоставляют информацию о предыдущих действиях и атаках этой группы, а также информацию о внутреннем устройстве и повторно используемом коде вредоносного ПО.
Handala
Группа Handala появилась в декабре прошлого года, и их первое сообщение было опубликовано на одном из веб-сайтов 18 числа. Их основная цель - израильские организации и организации, связанные с Израилем. Несколько различных исследователей привязали эту группу к Ирану, но пока нет точных доказательств для утверждения этого. Вся информация, которая есть на данный момент, свидетельствует о том, что группа имеет пропалестинские мотивы.
Trellix используя телеметрию, удалось подтвердить информацию об активности группы Handala. За последнюю неделю было замечено множество электронных писем, адресованных израильским клиентам.
Атака группы Handala начинается с отправки электронного письма, которое выглядит как сообщение от CrowdStrike и предлагает "исправление". Внутри письма находится ссылка на PDF-файл, в котором содержится ссылка для загрузки вредоносного ПО. Загружаемый архив содержит установочный файл Nullsoft Scriptable Install System (NSIS), который при запуске производит установку и запуск вредоносных файлов, включая Wiper.
После очистки системы Wiper собирает информацию о системе и передает ее через API Telegram. Затем группа может использовать эту информацию для своих целей. Процесс атаки довольно сложный и включает в себя несколько этапов, включая проверку наличия антивирусного ПО на компьютере жертвы и создание шифрованного файла AutoIT для запуска чистильщика.
В целом, атака группы Handala и их использование вредоносного ПО вызвало серьезные проблемы для множества компьютеров по всему миру. Они использовали схемы фишинга и приманок, чтобы получить доступ к компьютерам и уничтожить информацию на них. Благодаря расследованию удалось получить информацию о последовательности атак и внутреннем устройстве вредоносной программы. Однако идентификация группы и их реальные мотивы остаются предметом дальнейшего расследования.
Indicators of Compromise
URLs
- https://link.storjshare.io/s/jvktcsf5ypoak5aucs6fn6noqgga/crowdstrikesupport/update.zip?download=1
- https://link.storjshare.io/s/jwyite7mez2ilyvm2esxw2jq3apq/crowdstrikeisrael/update.zip?download=1
- https://link.storjshare.io/s/jwyite7mez2ilyvm2esxw2jq3apq/crowdstrikeisrael/update.zip?download=1Files:
MD5
- 22e9135a650cd674eb330cbb4a7329c3
- 2a5dd680c05b43d72365e8beb7e40088
- 3663bce9a86d8a619dcb64dc6ffbadee
- 6ee7ddebff0a2b78c7ac30f6e00d1d11
- 755c0350038daefb29b888b6f8739e81
- 8678cca1ee25121546883db16846878b
- 9fab9f640db1f75fb8c18bfb50976abd
- d32f89a8a3dd360db3fa9b838163ffa0
- da663d3ea0c818a60292e5239ef23dae
- fca0910949d92dc3dd3dfcf0fb3d0408
