Команда Trustwave SpiderLabs обнаружила атаку «водопоя», направленную на пользователей, ищущих легитимный инструмент Advanced IP Scanner.
Злоумышленники имитировали легитимный веб-сайт и использовали рекламу Google для обеспечения высокого положения своего вредоносного сайта в результатах поиска. Скомпрометированный инсталлятор, загруженный с домена с опечатками, содержал DLL-модуль, который внедрял маяк CobaltStrike во вновь созданный родительский процесс с помощью техники «впаивания» процесса. Это позволяло злоумышленникам получить доступ к системе и связаться со своими серверами управления (C2), что давало им возможность отдавать команды, красть данные и распространять их на другие компьютеры в сети.
В рамках этой кампании также сообщается о других доменах с опечатками, предоставляющих альтернативы CobaltStrike, такие как Sliver C2, а также вредоносные программы, включая Danabot, IDATLoader и MadMXShell.
Indicators of Compromise
URLs
- https://adlvanced-ip-scanner.com
- https://advanced-ip.org
- https://advanced-ip-scanner.link
- https://advnaced-ip-skanner.top
- https://coldfusioncnc.com
- https://nanopeb.com
MD5
- 21cdd0a64e8ac9ed58de9b88986c8983
- 723227f3a71001fb9c0cd28ff52b2636
SHA1
- 50792f2cbef2f35ca4fa843fed7ce84ee3a0339e
SHA256
- 248f3df68651214cfc1645792f685f8ac15db8f86978cfd3b181d618ccf03bc4
- 9a0c600669772bc530fe07c2dbb23dbb4808c640d016ffb832460ed25d2bb49e
- fef06c28ae5a65672c31076b062e33cfaeb2b90309444f6567877f22997bc711
