Компания Trend Micro обнаружила, что бэкдор more_eggs, компонент набора инструментов Golden Chickens malware-as-a-service (MaaS), активно используется в кибератаках с 2017 года.
More_eggs Backdoor
Недавно вредоносная программа была развернута в ходе фишинговой кампании, направленной на сотрудника по подбору персонала с фальшивым резюме, что привело к загрузке и выполнению вредоносного файла .LNK. Атаки more_eggs развивались с течением времени, и в последних кампаниях 2024 года использовались продвинутые тактики социальной инженерии, например, выдача себя за соискателей на LinkedIn. Злоумышленники атаковали различные отрасли, включая финансовые учреждения, горнодобывающие компании, гостиничный бизнес и машиностроение, часто ориентируясь на роли с доступом к финансовым ресурсам.
Этот файл инициировал цепочку событий, включающую выполнение скрипта с удаленного сервера и установку вредоносной DLL, которая запускала программу запуска и бэкдор more_eggs и создавала постоянство системного реестра. Бэкдор выполняет проверку окружения, проверку осведомленности системы с помощью команд WMI и typeperf.exe, а также взаимодействует с командно-контрольным (C&C) сервером через интерфейс IServerXMLHTTPRequest2. Процедура заражения также стала более изощренной: используется LOLBin ie4uinit.exe для запуска файла ieuinit.inf извне каталога Windows, а также выполняется бэкдор через msxsl.exe.
Несмотря на сложности с атрибуцией из-за модели MaaS, тактика, техника и процедуры (TTP), наблюдаемые в некоторых атаках, указывают на возможную связь с группой FIN6 ( Storm-0538).
Indicators of Compromise
URLs
- http://36hbhv.johncboins.com/fjkabrhhg
- https://1212055764.johncboins.com/some/036e91fc8cc899cc20f7e011fa6a0861/sbosf
- https://webmail.raysilkman.com
Emails
SHA256
- 3beda3377b060a89b41553485e06e42b69d10610f21a4a443f75b39605397271
- ccf8276b55398030b6b7269136c5ee26a5c422d68793dc9ec5adee79a057c7f4
- f2196309bc97e22447f6e168a9afbbb4291edd1cca51bf3789939c3618a63ec0
