Компания eSentire опубликовала краткое описание недавнего расследования угроз, связанных с вредоносным ПО more_eggs.
More_eggs является вредоносным программным обеспечением, которое используется киберпреступными группами Golden Chickens, Venom Spider, FIN6, Evilnum и Cobalt для кражи ценных учетных данных, таких как имена пользователей и пароли для банковских счетов, почтовых аккаунтов и учетных записей IT-администраторов.
Кампания доставки вредоносного ПО была связана с объявлением о работе на LinkedIn, где злоумышленник выдавал себя за потенциального кандидата и рекрутера, предлагая загрузить поддельное резюме. После загрузки файла .LNK на компьютер жертвы, задействовался исполняемый файл "cmd.exe", который сгенерировал строки и создал INF-файл. Затем вредоносная программа использовала легитимный файл "ie4unit.exe" для загрузки вредоносной DLL с сайта.
Полезная нагрузка вредоносной DLL была сильно обфусцирована и содержала антиотладочные и антипесочные проверки. Для расшифровки полезной нагрузки происходила итеративная генерация ключа на основе совпадения хэша. По результатам обзора безопасности, подготовленного Proofpoint UK, выяснилось, что вредоносная программа использует инструмент под названием Cobalt Strike для дальнейших действий, таких как осуществление привилегированного доступа к системам и использование командного интерпретатора.
Indicators of Compromise
URLs
- http://a8advbiejf.christianvelour.com/sfglfjgg4ks4f
- https://dcc.olcrv.com/login/tologin
MD5
- 1ba54a41210b0ba051765bca68f158da
- 2dea97b031cc7d38a15d29acf5fdde8c
- 428ae3a47e9afa51e2b395ba2f1bbd91
- cdb63ed9a743d86f03758c83fa463db4
- ea979d9743c2526b5b1781c3ea238ad5
SHA1
- 06e90155f72ecb877e17e8b948cea490a1ed4c9f
- 39f63ad5522ef2313afccd16eacad62458bac0a9
- fc2b7cb6a64c00c04faa0ce682289a310399446f
SHA256
- 28e5bdf13c41f194d8ed91a793a6bab5e0b2b1b6507f140227f1ce12a1007c9b
- 293a788a0b22870cfadd6dff5381d4b8b3ccaf376120736664bfc294a188e517
- 3aa1a02f12c2a46c0a66eb88b34434163200651be0d54dca1f50eeaefd722d9e
