Securonix Threat Labs Security Advisory Обнаружила новую кампанию атак MULTI#STORM с использованием загрузчика на базе Python, маскирующегося под утилиты OneDrive для сброса нескольких полезных нагрузок RAT
MULTI#STORM, интересная атакующая кампания с использованием вредоносной программы-загрузчика на базе Python, недавно была замечена для доставки заражений Warzone RAT с помощью фишинговых писем.
Интересная фишинговая кампания была недавно проанализирована командой Securonix Threat Research Team. Атака начинается, когда пользователь нажимает на сильно обфусцированный файл JavaScript, содержащийся в защищенном паролем zip-файле. Некоторые жертвы, на которых нацелена кампания MULTI#STORM, находятся в США и Индии.
Цепочка атак заканчивается тем, что компьютер жертвы заражается несколькими уникальными экземплярами вредоносного ПО RAT (троян удаленного доступа), такими как Warzone RAT и Quasar RAT. Оба они используются для командования и управления на разных этапах цепочки заражения.
Интересен загрузчик, который отвечает за первоначальную компрометацию хоста. Он функционирует очень похоже на DBatLoader, который использует общие TTP, однако эта вредоносная программа написана на Python и упакована с помощью PyInstaller. Она использует некоторые довольно сложные методы для обеспечения устойчивости и обхода обнаружения, прежде чем сбросить полезную нагрузку RAT.
Indicators of Compromise
URLs
- 134[.]19.179.147:29185/dominion46.ddns[.]net quas.exe connection string
- 134[.]19.179.147:38046/dominion46.ddns[.]net Storm.exe connection string
- https://lo3kcg.bl.files.1drv.com/y4mtafF_tQM7vAFHxOASpTWOq0M5qmXCnd8FhdFvHvKOxYaA1h-ocJsybIp-r0iMVcK8UH6WP-fFspS6l-aP6uTlpsy11crZ_p_HfMxTI4yymzBqVkLX-v4nQLrn2Ty0-ilIRzICAbtwbooanM9U97qPmTgUNxhC9ab_4VfNvcmiWFeami9lwl35D8Eb7UiF7TCJTo_0XyAatlemjaXw9zAlw/REQUEST.zip?download&psid=1
- https://onedrive.live.com/download?cid=4A89E2A4EA0448C0&resid=4A89E2A4EA0448C0%21130&authkey=ABwx94zEGC3SmxA
- https://onedrive.live.com/download?cid=D09BFD4EBDA21A3D&resid=D09BFD4EBDA21A3D!152&authkey=AErksvWpjzpD_Ag
- https://onedrive.live.com/download?cid=D09BFD4EBDA21A3D&resid=D09BFD4EBDA21A3D%21148&authkey=ADY1aqOba7HnNZs&em=2
- https://onedrive.live.com/download?cid=D09BFD4EBDA21A3D&resid=D09BFD4EBDA21A3D%21151&authkey=AGCMruhQJESxca4
SHA256
- 02212f763b2d19e96651613d88338c933ddfd18be4cb7e721b2fb57f55887d64
- 0e799b2f64cd9d10a4dfed1109394ac7b4ccc317a3c17a95d4b3565943213257
- 11408368f4c25509c24017b9b68b19ce5278681f6f12ce7db992d3c6124b0a23
- 18c876a24913ee8fc89a146ec6a6350cdc4f081ac93c0477ff8fc054cc507b75
- 30951db8bfc21640645aa9144cfeaa294bb7c6980ef236d28552b6f4f3f92a96
- 31960a45b069d62e951729e519e14de9d7af29cb4bb4fb8fead627174a07b425
- 3783acc6600b0555dec5ee8d3cc4d59e07b5078dd33082c5da279a240e7c0e79
- 37c59c8398279916cfce45f8c5e3431058248f5e3bef4d9f5c0f44a7d564f82e
- 455ed920d79f9270e8e236f14b13ed4e8db8dd493d4dabb05756c867547d8bc7
- 4a834b03e7faffef929a2932d8e5a1839190df4d5282cef35da4019fe84b19a5
- 5a11c5641c476891aa30e7ecfa57c2639f6827d8640061f73e9afec0adbbd7d2
- 8674817912be90a09c5a0840cd2dff2606027fe8843eb868929fc33935f5511e
- 9c14375fbbce08bcf3dc7f2f1100316b2fb745fa2c510f5503e07db57499bfc8
- ab0212f8790678e3f76ed90fba5a455ac23fbb935cf99cabc2515a1d7277676f
- b452a2ba481e881d10a9741a452a3f092dfb87ba42d530484d7c3b475e04da11
- f9130b4fc7052138a0e4dbaaec385ef5fae57522b5d61cb887b0327965ccc02a
