Компания Palo Alto заметила несколько волн вредоносного спама с использованием вложений в электронных письмах в конце 2024 - начале 2025 года. Одна из волн была направлена на финансовые организации в Турции, а другая на логистический сектор в Азии.
Описание
Злоумышленники использовали растровые ресурсы для проведения атак на целевые отрасли и регионы. Вредоносные программы были скрыты под легитимные файлы .exe, связанные с закупками, организациями и датами финансовых операций.
Техники обфускации в .NET включают переименование классов, замену опкодов и шифрование строк для затруднения статического анализа и обратного инжиниринга. Злоумышленники используют комбинацию этих методов для защиты вредоносных приложений. Технический анализ показал процесс извлечения вредоносной полезной нагрузки из растровых ресурсов и деобфускацию кода для загрузки вредоносных программ.
Подробный анализ конкретного образца вредоносного ПО показал использование различных методов для обфускации и загрузки ресурсов. Класс MainForm в .NET-коде имел специфичные названия методов, соответствующие тематике, таким как морские исследования. Процесс распаковки растровых ресурсов в сборки и деобфускация кода представлен на диаграммах, показывая структуру и работу вредоносных приложений.
Злоумышленники используют сложные методы обфускации и шифрования для защиты своих вредоносных приложений и обмана аналитиков. Изучение технических методов позволяет более эффективно бороться с такими киберугрозами и обнаруживать вредоносные атаки заранее.
Индикаторы компрометации
IPv4 Port Combinations
- 103.198.26.222:9373
- 176.65.144.154:3077
- 67.203.7.163:3320
Domain Port Combinations
- hosting2.ro.hostsailor.com:587
- mail.gtpv.online:587
- myhost001.myddns.me:9373
- nffplp.com:587
URLs
- http://www.sixfiguredigital.group/aoc3/
- http://www.yperlize.net/aa02/
Emails
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
SHA256
- 30b7c09af884dfb7e34aa7401431cdabe6ff34983a59bec4c14915438d68d5b0
- 3b83739da46e20faebecf01337ee9ff4d8f81d61ecbb7e8c9d9e792bb3922b76
- 511af3c08bd8c093029bf2926b0a1e6c8263ceba3885e3fec9b59b28cd79075d
- 5487845b06180dfb329757254400cb8663bf92f1eca36c5474e9ce3370cadbde
- 5adff9ae840c6c245c0a194088a785d78d91fe734ee46a7d51605c1f64f6dadd
- 604cbcfa7ac46104a801a8efb7e8d50fa674964811ec7652f8d9dec123f8be1f
- 8146be4a98f762dce23f83619f1951e374708d17573f024f895c8bf8c68c0a75
- 98195a4d27e46066b4bc5b9baea42e1e5ef04d05734c556d07e27f45cb324e80
- 9ed929b60187ca4b514eb6ee8e60b4a0ac11c6d24c0b2945f70da7077b2e8c4b
- a4a6364d2a8ade431974b85de44906fe8abfed77ab74cc72e05e788b15c7a0cf
- ac5fc65ae9500c1107cdd72ae9c271ba9981d22c4d0c632d388b0d8a3acb68f4