В апреле этого года была обнаружена атака, использующая многоуровневые методы обфускации для распространения вредоносной программы VenomRAT через ScrubCrypt. Позднее в этой атакующей кампании был загружен плагин, который внедрял различные типы вредоносных программ в среду жертвы. Недавно была обнаружена фишинговая кампания, в которой также использовались многоуровневые техники уклонения для внедрения вредоносных программ в зараженную среду. Эта кампания направлена на сотрудников и притворяется клиентом, требующим срочных действий. Вредоносные программы, используемые в этой атаке, используют различные методы упаковки и обфускации для скрытия от обнаружения.
VenomRAT
Атака начинается с получения электронного письма, имитирующего письмо от клиента, в котором требуется открыть вложение. Вложение представляет собой HTML-файл, который использует функцию "search-ms" для запроса LNK-файла "e_Statement" на удаленных файлообменниках. После открытия HTML-файла пользователем, вредоносный LNK-файл отображается в проводнике Windows и заманивает пользователя на выполнение с помощью значка PDF.
LNK-файл содержит команду на запуск удаленного пакетного файла с использованием conhost.exe в качестве родительского процесса. Затем выполняется обфусцированный пакетный файл, который скрывает скрипт, используя кодировку и обфускацию строк. Пакетный файл открывает ложный PDF-файл и загружает два ZIP-файла через PowerShell, извлекает их содержимое, устанавливает папку в скрытый режим и последовательно запускает вредоносные программы на Python.
Загрузчик шелл-кода на Python использует модуль Base64 для декодирования шелл-кода, который затем выполняется с помощью импортированного модуля "ctypes". Все файлы Python используют различные ключи для расшифровки шелл-кода. Обнаружен новый загрузчик шелл-кода на Python, который является скомпилированной версией с дополнительным слоем обфускации.
В рамках данной комапнии используется PureHVNC. Отслеживая серию примеров, был обнаружен новый обфускатор Python под названием "Kramer", который шифрует исходный код с помощью случайно сгенерированного ключа. Полученная обфусцированная программа объединяет зашифрованные данные с функциями, ограничивающими использование команд печати и ввода, и выполняет исходный код.
Indicators of Compromise
Domains
- anachyyyyy.duckdns.org
- drvenomjh.duckdns.org
- ghdsasync.duckdns.org
- ncmomenthv.duckdns.org
- vxsrwrm.duckdns.org
- xoowill56.duckdns.org
URLs
- https://float-suppose-msg-pulling.trycloudflare.com/
SHA256
- 062c5f5e9cdfd731912b262297e963b6d5e1b1d114184728065522f46a5eef2f
- 16a4de0540181bab7c5d25fcdf90838a28f2dff4ed9e0e37de3f5f1ab20afe0a
- 1967661f7c32607f7cfcb9053aeb8dea0a9d8f49979e729be77a43628c91469f
- 2b7ee0ccfa45d2f53098cd8aa4ce73cb00ace462d8490e6843bf05cd07854553
- 430300b8c527259805d29ab3fd150d9d297004ff77346cc07753290d84e77e95
- 441c4502584240624f4af6d67eded476c781ff0b72afe95ea236cc87a50e5650
- 503ce7bcefdffb96b5de78254f947598a410b86d3aaf597c7334e248c46dae5b
- 55134d705ccf881d011af949ad2fc0aa80dc7af50fa4a9db29b665647b869aec
- 561f4b4e2c16f21b0db015819340fc59484e4994022c4cca46cf778006d5d441
- 6b4f058ba41e829ff993e61b288e55552af3d98f9cd62483eeff088b26f6ab9b
- 71b797032458aab9b4a1a203e7ca413f009af1961cffb98590e34f672574599a
- 7292316900a0971aec0a302bc3c6632902d820804ce3b2375a9953744cab1bd9
- 72ce64d50f9aa15b21631307d2143f426364634a7a2ee4b401ef76bd88c4ff3b
- 7c4e613cf4db19f54030097687227809f965a951a26a44a882692ece6e642e3c
- 8bbdd3b41a03b86f246564a23e9acd48f74428f372c4bfb0a9a3af42511661c7
- 8d28191f647572d5e159f35ae55120ddf56209a18f2ca95a28d3ca9408b90d68
- 90995c621718ae65ca0af4deb10a9cb895bd494df40a7b34031b17efcc63114a
- 95a33ba5550747baf72e39b020e6215b6047983eda17250408cd6f4c16a93089
- b393323b9834656a2999198d4f02c1a159c6034d3c20c483d22a30aab3810c0c
- b3bb7064af80abef417e6e7775a7e14b0bd27233fd66c2252e714a4dd2ee9c21
- d4e8bf427c196d1d5ffca52a5af7162cc5cf4df730ee3fe65b4381ac79662a15
- e5f7efb35b7316c7ace1c322559fa9a8680ddb1ac15bef7d17e5b84c767f5b75
