Главная страница » IOC
0
7 дней
IOC

Sosano Backdoor: Злоумышленник поставляет высокоцелевое многоступенчатое полиглотное вредоносное ПО

security

Исследователи компании Proofpoint выявили целенаправленную кампанию, в рамках которой было обнаружено вредоносное ПО под названием Sosano.

Sosano Backdoor

Кампания была направлена на несколько клиентов Proofpoint в Объединенных Арабских Эмиратах, которые проявляли особый интерес к организациям авиационной и спутниковой связи, а также транспортной инфраструктуре. Вредоносные сообщения были отправлены от взломанной организации, имитирующей законные доверительные отношения с клиентами. Атакующие использовали методы обфускации, включая использование полиглотных файлов, чтобы обойти анализ вредоносного ПО. Кампанию было присвоено имя UNK_CraftyCamel.

В качестве точки вторжения злоумышленники использовали вредоносный ZIP-файл, содержащий множество полиглотных файлов. Они представляли собой файлы, которые могут интерпретироваться как различные форматы в зависимости от способа их чтения. Одним из файла был LNK-файл с двойным расширением, а другие были полиглотными PDF-файлами. Через цепочку действий, которая включала ссылки на контролируемый вредоносными акторами домен и загрузку дополнительных файлов, был установлен бэкдор Sosano. Данный бэкдор был написан на языке программирования Golang.

Proofpoint обнаружил, что бэкдор Sosano может использовать дополнительные ключи XOR, которые могут быть артефактами предыдущих вторжений или использоваться в будущих итерациях атаки. Он имеет возможность проникать в систему, записывать и запускать файлы, а также менять содержимое файлов. Основной целью атакующих были организации в Объединенных Арабских Эмиратах, имеющие отношение к авиационной и спутниковой связи, а также критически важной транспортной инфраструктуре.

Такие кампании поставки вредоносного ПО, использующие полиглотные файлы для обфускации и осложнения анализа, демонстрируют значительные технические возможности злоумышленников и их стремление оставаться незамеченными. Поэтому необходимо принимать меры для обеспечения безопасности в сфере кибербезопасности и защиты инфраструктуры организаций от таких угроз.

Indicators of Compromise

IPv4

  • 104.238.57.61
  • 46.30.190.96

Domains

  • indicelectronics.net
  • bokhoreshonline.com

SHA256

  • 0ad1251be48e25b7bc6f61b408e42838bf5336c1a68b0d60786b8610b82bd94c
  • 0c2ba2d13d1c0f3995fc5f6c59962cee2eb41eb7bdbba4f6b45cba315fd56327
  • 336d9501129129b917b23c60b01b56608a444b0fbe1f2fdea5d5beb4070f1f14
  • 394d76104dc34c9b453b5adaf06c58de8f648343659c0e0512dd6e88def04de3
  • e692ff3b23bec757f967e3a612f8d26e45a87509a74f55de90833a0d04226626
Комментарии: 0
Похожие записи
0
15 часов
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает
0
12 дней
IOC

Шпионская группа Lotus Blossom нацелена на несколько отраслей промышленности с помощью различных версий Sagerunex и хакерских инструментов

security
Компания Cisco Talos сообщает о нескольких кампаниях кибершпионажа, нацеленных на правительственные учреждения, производственные компании, телекоммуникации и СМИ.