MerlinAgent Framework IOCs

CERT-UA 04.08.2023 получена информация о распространении писем с темой "Рекомендації CERT-UA з налаштувань програм MS Office." и вложением в виде файла "ВНУТРІШНІ КІБЕРЗАГРОЗИ.chm", якобы, от имени "CERT-UA" с использованием электронного почтового адреса [email protected].

Открытие упомянутого CHM-файла приведет к выполнению JavaScript-кода (содержится в файле "New_Item1.htm"), что, в свою очередь, обеспечит запуск PowerShell-скрипта, предназначенного для загрузки, расшифровки и декомпрессии GZIP-архива "ctlhost.exe.tmp", который содержит исполняемый файл "ctlhost.exe".

Запуск указанного EXE-файла приведет к поражению ЭВМ программой MerlinAgent (исходный код доступен на GitHub).

Следует обратить внимание на факт использования легитимного файлового сервиса "Catbox" (hxxps://catbox[.]moe/).

Один из первых случаев использования MerlinAgent зафиксирован 10.07.2023 во время осуществления кибератаки в отношении государственной организации Украины, для чего осуществлена рассылка электронных писем с темой "Навчання по БПЛА".

MerlinAgent Framework

Merlin - это кроссплатформенный постэксплойтовский командно-контрольный сервер и агент, написанный на языке Go.

Основные возможности:

• Поддерживаемые протоколы C2: http/1.1 clear-text, http/1.1 over TLS, HTTP/2, HTTP/2 clear-text (h2c), http/3 (http/2 over QUIC).
• Сервер и агент: Windows, Linux, macOS (Darwin), MIPS, ARM или все, что может быть создано на базе Go.
• Агент Windows DLL
• Фронтирование домена
• Выполнение сборок .NET в процессе с помощью invoke-assembly или в жертвенном процессе с помощью execute-assembly
• Выполнение произвольных исполняемых файлов Windows (PE) в жертвенном процессе с помощью execute-pe
• Различные техники выполнения шелл-кода: CreateThread, CreateRemoteThread, RtlCreateUserThread, QueueUserAPC
• OPAQUE Асимметричный обмен ключами с аутентификацией по паролю (PAKE)
• Зашифрованный JWT для аутентификации
• Агентский трафик представляет собой зашифрованный JWE с использованием PBES2 (RFC 2898) с HMAC SHA-512 в качестве PRF и AES Key Wrap (RFC 3394) с 256-битным ключом в качестве схемы шифрования. (PBES2_HS512_A256KW)
• Встроенная поддержка Donut, sRDI и SharpGen
• Набивка сообщений C2-трафика для борьбы с обнаружением маяков, основанных на фиксированном размере сообщений
• Динамическое изменение хэша JA3 агента

Indicators of Compromise

IPv4

• 45.153.215.48

Domains

• listen.servemp3.com

URLs

• https://files.catbox.moe/g1h7zr.bin
• https://files.catbox.moe/ublkdc.bin
• https://listen.servemp3.com:443
• https://shorturl.at/iopr9

Emails

• [email protected]

MD5

• 101acc2b4f0979b49113a5967cf333c8
• 288440a52827e4a495187e4a4e66fbd1
• 439d0683100c5fa15eb176e014dad713
• 5285a5665a48590d8cfca713d5aeb927
• 5f0011ab360048a3506bfc09d57d49c0
• 5f4a7fdbbf3db222342708a036b86fd0
• 640dad82507c9400e4b704841b941d29
• 9d2f8a6f5d517a7bfce2965702de80d1
• a9579193b492363a92875f66078a7840
• c7c1b13e245b04a1b852b38c4e3113b7

SHA256

• 33557c31841401f85485638973505327a8ae9a207fbb664cd0777322eea75c4d
• 415a0d476aef25a84ac833d4276196bc83276bbb465ffc0880bcbe106b1c4ab3
• 4659d371c9b6db1687d6dd027e95563da88a29378de4f87db19b267859d04d03
• 46fa63af33fb7a42d3f79ed81d38e5cadda7d311b07b2306e917179948189c7a
• 598af59ff921adf83e592ab750dc421095777f167bd8b743049b2b7e89e9df78
• 5a8a72d262e4a92259aa6ecb54b13898d57f76af9f2a048c640d53c2cd29ad19
• 5c02b94a6907c8b03947319e5cafffab6e36d0c5cd041cc81b124912f22c5023
• e556d7cae4f9c5800b78c891be642f75fcf5c931af9c2efb626750542c8086b1
• ea7352450cbf79590044a2aca7b81e61305e4a0a1bef6875bd09bf5b6e111d20
• ebedaeb0e646f18194f2bc994866fbe84289e170190e7ff80bec22df85d4ac3b