Lampion возвращается с приманками ClickFix

security

Исследователи Unit 42 выявили целенаправленную кампанию вредоносного ПО, направленную на португальские организации, особенно в правительственном, финансовом и транспортном секторах, с использованием ПО Lampion - похитителя конфиденциальной банковской информации.

Описание

Группа злоумышленников обновила свой арсенал приманкой ClickFix, методом социальной инженерии, с целью убедить жертв скопировать и выполнить вредоносные команды. В атаках использовались скрипты Visual Basic с высокой степенью обфускации и схожие темы социальной инженерии.

Анализ показал сходство текущей кампании с предыдущими активностями Lampion по целям, инфраструктуре и тактике. Важность обладания расширенными средствами обнаружения для борьбы с сложными и обфусцированными угрозами была подчеркнута.

Цепочка атак начинается с фишингового письма, редиректа на поддельный сайт налогового органа и предложения жертве скопировать вредоносную команду PowerShell, что заставляет запустить обфусцированный VBS-файл, часть вредоносной кампании Lampion. Сервер C2 и методы TTP совпадают с предыдущими кампаниями Lampion, усиливая связь между ними. ClickFix используется в атаках социальной инженерии для заражения жертв.

Анализируя ход кампании Lampion, Unit 42 выявили сходства с прошлыми атаками и методы внедрения вредоносных программ.

Индикаторы компрометации

Содержание
  1. IPv4
  2. Domains
  3. URLs
  4. SHA256

IPv4

  • 18.116.15.129
  • 18.116.28.153
  • 18.117.11.70
  • 18.117.173.119
  • 18.117.71.203
  • 18.118.163.100
  • 18.191.192.110
  • 18.191.240.233
  • 18.217.180.185
  • 18.220.96.58
  • 18.221.69.167
  • 18.222.97.143
  • 18.224.38.123
  • 3.128.34.187
  • 3.133.113.215
  • 3.133.160.140
  • 3.135.200.135
  • 3.138.32.196
  • 3.142.200.117
  • 3.143.24.42
  • 3.147.127.14
  • 3.147.86.100
  • 3.15.155.141
  • 3.15.7.241
  • 3.16.76.203
  • 3.23.105.171
  • 5.8.9.77
  • 83.242.96.159

Domains

  • autoridade-tributaria.com
  • inde-faturas.com

URLs

  • http://18.116.63.61/ifeellike.php
  • http://18.116.63.61/trogloditas.php
  • http://18.216.78.94/aceitalo.php
  • http://18.217.122.187/proposito.php
  • http://18.226.150.56/persistir.php
  • http://3.135.249.199/prayfor.php
  • http://3.142.40.36/grow.php
  • http://3.23.103.13/stick.php

SHA256

  • 1681c3b88ed315543ac1bf07d258d560cf2f85bfd26c10471d71700eaeb57fb3
  • 29b63fcf8e5f08fd12166507b3a85746e3ec685ae0620a124e64125ecd9ccf9b
  • 334dfbaefbf7e6301d2385f95d861eb6dae9018c48fb298a2cbf5f364fbcdb2d
  • 4aeb84dd71588a35084109ff5525c7bff2f30e0ed58ce139621b17f2374bdb35
  • 58fe2a7d4435c9c24c98d33aff1110add4bf95add31558f51289a028ddafcc6e
  • bba48cf24bb9e6bdcbc79c2241f101e3dd4127ab450e3dbbe1b79fa738f06483
  • ee4c8e4cce55bd40afa1fb0bc0eee3d7c23d0ebe2db48c2092e854f6ca1472ce
Комментарии: 0