В конце апреля была обнаружена волна фишинговых кампаний, которые направлены на компании занятые рекрутингом. В этих письмах потенциальные жертвы приглашаются к рассмотрению новых вакансий и предлагается перейти по ссылке для ознакомления с деталями вакансии на внутреннюю систему. При переходе на целевую страницу, пользователям предлагается загрузить документ после того, как они решат задачу CAPTCHA. Далее загружается обфусцированный файл JavaScript, который запускает PowerShell и инициирует загрузку бэкдора WARMCOOKIE.
WARMCOOKIE является начальным бэкдором, используемым для разведки и деплоймента дополнительной полезной нагрузки. Он содержит IP-адрес и ключ RC4 для связи с контрольным сервером (C2). Хакеры ежедневно создают новые домены и инфраструктуру для поддержки этой кампании. Меры предосторожности необходимы, так как WARMCOOKIE оказывает влияние на организации по всему миру, несмотря на ограниченный набор функций.
Инфраструктура REF6127 обнаружена с использованием инструментов, таких как urlscan.io и VirusTotal. Злоумышленники постоянно генерируют новые целевые страницы на IP-адресе 45.9.74[.]135, нацеленные на компании занятые рекрутингом. Перед переходом на каждую целевую страницу, злоумышленник использует взломанную инфраструктуру для размещения первоначального фишингового URL-адреса, который перенаправляет пользователей на различные целевые страницы. Злоумышленник постоянно создает новые домены, чтобы избежать обнаружения и поддерживать свою репутацию.
WARMCOOKIE является Windows DLL, которая используется злоумышленниками для двух этапов. В первом этапе DLL копируется из временной директории в каталог C:\ProgramData\RtlUpd\RtlUpd.dll. После установки вредоносная программа обеспечивает постоянство. Далее она собирает отпечатки жертв, снимает скриншоты и загружает дополнительную полезную нагрузку.
Indicators of Compromise
IPv4
- 185.49.69.41
- 45.9.74.135
- 80.66.88.146
Domains
- assets.work-for.top
- omeindia.com
SHA256
- ccde1ded028948f5cd3277d2d4af6b22fa33f53abde84ea2aa01f1872fad1d13
