Исследование, проведенное командой X-Labs, обнаружило новое вымогательское ПО, которое направлено на турецкие предприятия. Атаки начинаются с подозрительного электронного письма, содержащего PDF-вложение и приходящего с домена "internet[.]ru". После взаимодействия с пользователем в PDF-файле загружается вредоносный exe-файл, который шифрует файлы с расширением ".shadowroot". Это ransomware активно атакует предприятия в различных секторах, включая здравоохранение и интернет-магазины.
Атака начинается с вложения в формате PDF, содержащего URL-ссылку, через которую загружается вредоносный exe-файл с GitHub. Загружаемый файл имеет 32-битную архитектуру и сбрасывает дальнейшую полезную нагрузку в несколько файлов в директорию "C:\TheDream". Далее, он использует PowerShell для запуска exe-файла с защитой от обнаружения с стороны антивирусных программ.
Атакующий файл создает мутантные объекты в памяти и начинает шифрование файлов. Он также записывает свои действия в файл "C:\TheDream\log.txt" и переименовывает файлы с расширением ".shadowroot". Вымогательские заметки на турецком языке отображаются в файле "readme.txt", а зашифрованные файлы выпадают на рабочий стол. В заметках указан адрес электронной почты для связи с атакующими и дальнейшего проведения оплаты через криптовалюту для получения инструментов для расшифровки.
Во время атаки наблюдается рекурсивное создание самопроцессов атакующего файл RootDesign.exe, что приводит к множественному шифрованию файлов и увеличению потребления памяти. Код, используемый в атаке, включает в себя стандартный класс AESCryptoServiceProvider, который является популярным в злонамеренных бинарных файлах. Также обнаружено SMTP C2-соединение на smtp[.]mail[.]ru, используемое для отправки данных на подозрительные аккаунты.
Indicators of Compromise
URLs
- https://raw.githubusercontent.com/kurumsaltahsilat/detayfatura/main/PDF.FaturaDetay_202407.exe
Emails
SHA1
- 1c9629aeb0e6dbe48f9965d87c64a7b8750bbf93
- cd8fbf0dcdd429c06c80b124caf574334504e99a
