Главная страница » IOC
0
1 год
IOC

ScreenConnect Campaign IOCs - Part 2

security

С конца сентября прошлого года в Италии постоянно проводятся вредоносные кампании, направленные на распространение инструментов удаленного управления. Эти инструменты представляют собой легальные программы (например, ScreenConnect и UltraVNC), используемые в незаконных целях.

ScreenConnect Campaign

Эти программы, по функциональности напоминающие известный TeamViewer, позволяют завладеть компьютером жертвы, отображая содержимое его экрана и взаимодействуя с ним так, как это делает пользователь мыши и клавиатуры.

В конце сентября прошлого года в Италии была проведена первая подобная кампания, и с тех пор атаки такого рода происходят регулярно. Хотя для пользователя это лишь одна из многих угроз, которых следует остерегаться, для аналитиков подобные кампании являются аномалией.

Так, в Италии наиболее многочисленными были кампании по распространению вредоносных программ-инфопохитителей (AgentTesla in primis, затем FormBook и Ursnif). Именно Ursnif был замечен в выпуске VNC-клиентов в качестве полезной нагрузки после заражения, превратившись из известного банковского троянца (вредоносной программы, направленной на кражу денег из домашних банковских операций) в нечто более многоцелевое.

Переход, как на уровне банд (как в случае с Ursnif), так и на национальном уровне (о чем свидетельствуют новые кампании), от использования инфопохитителей к использованию RAT (вредоносных программ удаленного управления) не так прост и мгновенен, как может показаться. На самом деле эти два типа вредоносных программ требуют разных знаний и ресурсов.

Инфопохититель предоставляет операторам информацию, которую можно более или менее легко перепродать, и, главное, не требует наличия операторов в режиме онлайн (т.е. всегда готовых к работе). Когда вредоносная программа исполняется жертвой, информация похищается и сохраняется в C2 операторов, которые со временем смогут ее просмотреть, поскольку никакого взаимодействия с жертвой не требуется.

Однако для RAT-кампаний режим работы иной. Запуская RAT, вы получаете возможность контролировать машину жертвы. И хотя верно, что этот контроль можно автоматически использовать для пересылки других полезных нагрузок, верно и то, что если бы целью была только установка дополнительного вредоносного ПО, то оно было бы установлено непосредственно при первоначальном заражении.

Поэтому предполагается, что управление RAT-кампаниями имеет ручную составляющую проверки и классификации жертв. Эти ручные действия требуют наличия достаточного количества операторов для работы с количеством жертв, и прежде всего необходимо, чтобы они были подключены к сети в то время, в которое, как предполагается, будет наибольшая отдача от заражений, а возможно, и дальше, чтобы охватить весь день.

Такая организация работы характерна для APT-групп, где операторы являются наемными работниками и работают по графику и сменам, как любой другой работник. Наконец, процесс монетизации, основанный на доступе к компьютерам жертв, отличается от монетизации украденных учетных данных и кредитных карт. Связи (человеческие), необходимые для продажи первых, отличаются от связей, необходимых для продажи вторых. Таким образом, эти адаптации не являются само собой разумеющимися и не происходят спонтанно, за ними стоит план и в любом случае определенная воля к изменению тактики.

Поэтому, учитывая первоначальные трудности и различную операционализацию, необходимую для проведения исключительно RAT-кампаний, приходится задаваться вопросом, какова цель этих усилий.

Особую тревогу вызывают два случая:

  • Первоначальный доступ для других субъектов. Эти субъекты проверяют личность жертвы и перепродают доступ тому, кто больше заплатит. Обычно их покупают банды или отдельные лица, которые затем передают им программы-вымогатели.
  • Шпионаж. После повторной проверки личности жертвы за ней можно шпионить, если она имеет конфиденциальный профиль. Исследователи, государственные служащие, руководители предприятий - все они относятся к конфиденциальным категориям, и шпионаж за ними может представлять серьезную угрозу для страны.

Эти две гипотезы не являются взаимоисключающими, но остаются гипотезами в отсутствие данных, полученных после эксплуатации/заражения.

В силу вышеизложенного, а также в связи с наметившейся тенденцией к появлению новых типов кампаний, нельзя не подчеркнуть опасность этого явления. Распространение RAT имеет менее высокую денежную отдачу, чем другие виды вредоносного ПО, и не происходит спонтанно, поэтому, по-видимому, за этим явлением стоит определенный умысел. Поэтому данное явление заслуживает мониторинга и отслеживания с целью его правильной идентификации и соответствующей защиты.

Indicators of Compromise

Domains

  • cryptoapex-invests.com
  • spm23.casacam.net
  • studioaziende.click

URLs

  • https://bit.ly/Fattura181023
  • https://cryptoapex-invests.com/js/any.exe
  • https://cryptoapex-invests.com/js/exploit.ps1
  • https://cryptoapex-invests.com/js/install.bat
  • https://instance-ln8lsc-relay.screenconnect.com
  • https://studioaziende.click/
  • https://studioaziende.click/madona.mp3
  • https://studioaziende.click/pink.mp3
  • https://www.agendepoint.it/6628-thickbox_default/ricevuta-di-pagamento-attivita-sportive-2-copia-autor-9x17-pezzi-2.jpg
  • https://www.mediafire.com/file/xc4aj1auw1l8zhr/Fattura10.18.23.vbs/

MD5

  • 193a7c86091ca535bfd8cecefd66db92
  • 1d3c8727b94269c98777185bc5a5e140
  • 28bffb01262b653b5948dd837bc9ded4
  • 45d773e41548d4d615944db5d19445f4
  • 6a120d996e457a9de75298d341d6d1a5
  • 81d8cd93c1c042209fb194fdfc67f3dc
  • a6244a2ccb3cb10f19f66a74b7e9ae19
  • b9b8c2ad3f16dd1ee7518b5b4ed165b1
  • cb6983e1dbaaf2391c9b4ea582e2b8c1
  • cc9e080d1766d43008cfe5e5deba584f
  • da08e8d5ec04d00523750aba37ddbf26
  • dd4589f4f685e5cad105ec0a3aa3f96b
  • f24f62eeb789199b9b2e467df3b1876b
  • fd877ae342e4e8b246d11700eb90b23d

SHA1

  • 0adfc8ca4273d6e027d47dbf7de2d978ccaf036e
  • 2ddf1b3eebef8458cc023cc9faa9c98eebf36171
  • 4d07b1d06c531c52bd3f2fb38b6fa338d3b4ba6b
  • 836bd1d60c643f2e98096218a093dd404c8d66c4
  • 8e7a46f0bd61516f23a2ebb217fa8e81f18e1a7d
  • 9c1790db6b9cbd9c5bf2b12b8fbcf6a342a6fd3a
  • b48c5c09d0c62fb3db625ec6c9b3b3667a075e02
  • b5eb3a6a35f645432e0bf18acd2ef10824b48d8c
  • bcd13b47bc9f5ab3d1d4c0a0b34c112c5920a273
  • c7cff685f59287f36134a6e14c915491ff9fd9fa
  • c8d06d1269bc10dd8a0b696c5fd90fa84a3425af
  • d3368caccf096fe27b5c2b77e867e465f7d248d2
  • de3ac21778e51de199438300e1a9f816c618d33a
  • fc8d881bf7b13df8e7bf31b6f811f53c44f8336d

SHA256

  • 1ce4768f825372d55c1d30ce3ac41afb913de6299a64ae5b0ac1b3b752421d64
  • 210011d881a2d92ab622dbfab0c75d9ed05f2bee2d3cafb1b4ebdcefbc161e21
  • 4528489ea4bc2cf115c05db55cd1077a4f4854293ecd240821c8c4c64b16c3b1
  • 4da74a42d11588679227d5c6573d693939638a796f0775a38055fea997597153
  • 5dda5b868b0c3af3ae72aceeb80c159789cbf6260de5d3db26ea41f5c90e6f04
  • 78aff05aa2ad11f42353bfbded5b8539b95c3fcbfbc35053641e8d902eecd8b5
  • 852edfa00a80b02cd48ff063f9c62a2ba0e9a90acb289b96f29b4d5faeda63b7
  • 85bdf691ddbeebf9a11faa642fc7767507014483a7d43ede19406bfe46b8969f
  • a1914ce3c6554fc7df5ca914ae25d1b2e5566418341c7dbc7d867d312041c6e3
  • c2ab7b8701bdc36198a8f01791c8a3479ef3e8bcc6ccd3bd8c2f60dd9672e8e1
  • c573aceb69a23904d9b8989997d573819332ca56ab015615248b732ff7666675
  • cb513781bcbf9fa820bdc3061089722795adf1d48a8788416b8e38dc9d287027
  • d658f722760324a9e866c6aff9b739ee59976c60a96b1ed3bc3d4048f8491b24
  • e596899f114b5162402325dfb31fdaa792fabed718628336cc7a35a24f38eaa9
Комментарии: 0
Похожие записи
0
14 дней
IOC

Смишинг INPS: новое мошенничество грозит уголовными последствиями

security
CERT-AGID продолжает обнаруживать фишинговые кампании, нацеленные на пользователей Италийского Национального института социального обеспечения (INPS). В ходе их недавнего мониторинга была выявлена новая
0
1 месяц
IOC

Vidar снова меняется: переменная полезная нагрузка и более совершенная обфускация для этой новой волны

Spyware
2 февраля 2025 года была обнаружена новая кампания Vidar, которая использовала усовершенствованные методы обфускации и использовала алгоритм Domain Generation Algorithm (DGA) для генерации вредоносных адресов.