Маштабная кампания по заражению компьютеров с использованием Cobalt Strike и Minhook DLL.

security

Компания Sophos отслеживала атаку на своих клиентов в конце 2023 года и в начале 2024 года, выявив использование библиотеки Minhook DLL для обхода вызовов Windows API и появление Cobalt Strike как полезной нагрузки.

Описание

В результате расследования обнаружено, что кампания сместила свое внимание с дальневосточного региона в Швецию, причем исполнительный файл боковой загрузки выхватывался из зараженной системы. Несмотря на использование компрометированной цифровой подписи для компонентов, исследование продолжается, обогащая полученные знания. Были замечены подобные инциденты в Китае и Тайване, где C2-соединения с серверами Cobalt Strike были обнаружены внутри Windows-сервисов, таких как Miracast.

В ходе исследования случаев боковой загрузки MiracastView, Shellcode/C2Interceptor установил соединение с сервером Cobalt Strike. Анализируя чистые и вредоносные загрузчики, а также файлы полезной нагрузки, обнаружены связи с C2-серверами, свидетельствующими о проникновении Cobalt Strike. В случае с боковой загрузкой PrintDialog, было выявлено использование легитимного установщика LetsTalkApplication, предположительно распространяемого через чат-приложение от тайваньской компании. Также был обнаружен сценарий боковой загрузки SystemSettings со схожими компонентами вредоносной активности.

Исследование позволило выявить общие элементы в разных случаях боковой загрузки, включая использование конкретных файлов полезной нагрузки и C2-соединений с серверами Cobalt Strike. Несмотря на сложность восстановления вредоносных файлов, анализ имеющейся информации позволяет предположить одинакового создателя компонентов во всех инцидентах.

Индикаторы компрометации

Содержание
  1. Domanins
  2. URLs
  3. SHA256

Domanins

  • bostik.cmsnet.se

URLs

  • https://github.com/howmp/pyminhook/raw/master/minhook/MinHook.x64.dll

SHA256

  • 0bba1b25f7065118fbfd607a123b6c09d8b97ab5be4ca42b56a994188408f7a9
  • 3f4cac516b8f2ccb6f10042100369c018d8671972fad360977fe522fd47e06c6
  • 402be231f1c9258bb1510962b15c3ea5410e54f97e3269cd6cd4c355822798d1
  • 47f60c25ab5bb07dc3f65694302991a0796a29021b570a2335acda8196dd2b52
  • 880dea11f75380e300bfd5c8054a655eacb2aa0da2c0d89fef3c32666df9a533
  • b72daf654fc83cd6ccccedbf57a102b48af42f410dbc48f69ec5c8c62545dc18
  • bc56676f0da4b0fba57aaa51d390732e40ef713909e5a70bb30264b724a65921
  • e768ff1f2f31178fe5930f261acd4b19464acc019fb0aa697d0b48686e59050c
  • f87cb46cac1fa44c9f1430123fb23e179e3d653a0e4094e0c133fa48a924924f
  • fd93d7a9f884e0b63106e669a10b8faeaaafda49fac05a66d8581c9e9aa31ad3
Комментарии: 0