Исследователи Unit 42 выявили целенаправленную кампанию вредоносного ПО, направленную на португальские организации, особенно в правительственном, финансовом и транспортном секторах, с использованием ПО Lampion - похитителя конфиденциальной банковской информации.
Описание
Группа злоумышленников обновила свой арсенал приманкой ClickFix, методом социальной инженерии, с целью убедить жертв скопировать и выполнить вредоносные команды. В атаках использовались скрипты Visual Basic с высокой степенью обфускации и схожие темы социальной инженерии.
Анализ показал сходство текущей кампании с предыдущими активностями Lampion по целям, инфраструктуре и тактике. Важность обладания расширенными средствами обнаружения для борьбы с сложными и обфусцированными угрозами была подчеркнута.
Цепочка атак начинается с фишингового письма, редиректа на поддельный сайт налогового органа и предложения жертве скопировать вредоносную команду PowerShell, что заставляет запустить обфусцированный VBS-файл, часть вредоносной кампании Lampion. Сервер C2 и методы TTP совпадают с предыдущими кампаниями Lampion, усиливая связь между ними. ClickFix используется в атаках социальной инженерии для заражения жертв.
Анализируя ход кампании Lampion, Unit 42 выявили сходства с прошлыми атаками и методы внедрения вредоносных программ.
Индикаторы компрометации
IPv4
- 18.116.15.129
- 18.116.28.153
- 18.117.11.70
- 18.117.173.119
- 18.117.71.203
- 18.118.163.100
- 18.191.192.110
- 18.191.240.233
- 18.217.180.185
- 18.220.96.58
- 18.221.69.167
- 18.222.97.143
- 18.224.38.123
- 3.128.34.187
- 3.133.113.215
- 3.133.160.140
- 3.135.200.135
- 3.138.32.196
- 3.142.200.117
- 3.143.24.42
- 3.147.127.14
- 3.147.86.100
- 3.15.155.141
- 3.15.7.241
- 3.16.76.203
- 3.23.105.171
- 5.8.9.77
- 83.242.96.159
Domains
- autoridade-tributaria.com
- inde-faturas.com
URLs
- http://18.116.63.61/ifeellike.php
- http://18.116.63.61/trogloditas.php
- http://18.216.78.94/aceitalo.php
- http://18.217.122.187/proposito.php
- http://18.226.150.56/persistir.php
- http://3.135.249.199/prayfor.php
- http://3.142.40.36/grow.php
- http://3.23.103.13/stick.php
SHA256
- 1681c3b88ed315543ac1bf07d258d560cf2f85bfd26c10471d71700eaeb57fb3
- 29b63fcf8e5f08fd12166507b3a85746e3ec685ae0620a124e64125ecd9ccf9b
- 334dfbaefbf7e6301d2385f95d861eb6dae9018c48fb298a2cbf5f364fbcdb2d
- 4aeb84dd71588a35084109ff5525c7bff2f30e0ed58ce139621b17f2374bdb35
- 58fe2a7d4435c9c24c98d33aff1110add4bf95add31558f51289a028ddafcc6e
- bba48cf24bb9e6bdcbc79c2241f101e3dd4127ab450e3dbbe1b79fa738f06483
- ee4c8e4cce55bd40afa1fb0bc0eee3d7c23d0ebe2db48c2092e854f6ca1472ce