ZxxZ RAT IOCs

remote access Trojan

Cisco Talos обнаружила продолжающуюся с августа 2021 года вредоносную кампанию APT-группы Bitter, направленную на пользователей из Бангладеш, что отличается от обычных жертв злоумышленников. В рамках этой кампании появился новый троян, основанный на Apost Talos и называемый "ZxxZ", который, среди прочих функций, включает возможность удаленного выполнения файлов. На основании сходства сервера C2 этой кампании с сервером предыдущей кампании Bitter, Cisco Talos с умеренной уверенностью оценивает, что эта кампания управляется APT-группой Bitter.

ZxxZ RAT

Cisco Talos обнаружила кампанию, проводимую, по нашему мнению, APT-группой Bitter с августа 2021 года. Эта кампания является типичным примером того, как злоумышленники атакуют государственные структуры Южной Азии.

Эта кампания нацелена на элитное подразделение правительства Бангладеш с тематическим документом-приманкой, якобы относящимся к обычным оперативным задачам в организации жертвы. Документ-приманка представляет собой фишинговое электронное письмо, отправленное высокопоставленным офицерам подразделения батальона быстрого реагирования полиции Бангладеш (RAB). Письма содержат либо вредоносный документ RTF, либо электронную таблицу Microsoft Excel, использующую известные уязвимости. Как только жертва открывает maldoc, автоматически запускается приложение Equation Editor для запуска встроенных объектов, содержащих шеллкод для эксплуатации известных уязвимостей, описанных CVE-2017-11882, CVE-2018-0798 и CVE-2018-0802 - все в Microsoft Office - затем загружает троян с хостинг-сервера и запускает его на машине жертвы. Троян маскируется под службу обновления Windows Security и позволяет злоумышленнику выполнить удаленное выполнение кода, открывая возможность для других действий путем установки других инструментов. В этой кампании троян работает сам по себе, но в арсенале злоумышленника есть и другие RAT и программы-загрузчики.

Такие кампании слежки могут позволить получить доступ к конфиденциальной информации организации и дать их кураторам преимущество перед конкурентами, независимо от того, спонсируются ли они государством.

APT-группа Bitter

Bitter также известный как T-APT-17, действуют с 2013 года, атакуя энергетический, инженерный и государственный секторы в Китае, Пакистане и Саудовской Аравии. В своей последней кампании они распространили свои атаки на государственные структуры Бангладеш.

Основным мотивом Bitter является шпионаж. Противник обычно загружает вредоносное ПО на скомпрометированные конечные точки со своего хостинг-сервера через HTTP и использует DNS для установления контакта с центром управления. Bitter известен тем, что использует известные уязвимости в средах жертв. Например, в 2021 году исследователи безопасности обнаружили, что использует уязвимость нулевого дня CVE-2021-28310, дефект безопасности в Microsoft Desktop Manager. Известно, что Bitter атакует как мобильные, так и настольные платформы. В их арсенале в основном Bitter RAT, загрузчик Artra, SlideRAT и AndroRAT.

Indicators of Compromise

IPv4

  • 99.83.154.118

Domains

  • autodefragapp.com
  • helpdesk.autodefragapp.com
  • levarisnetqlsvc.net
  • mswsceventlog.net
  • olmajhnservice.com
  • tomcruefrshsvc.com
  • urocakpmpanel.com

URLs

  • http://autodefragapp.com/
  • http://levarisnetqlsvc.net/
  • http://levarisnetqlsvc.net/drw/drw
  • http://levarisnetqlsvc.net/jig/gij
  • http://levarisnetqlsvc.net/lt.php
  • http://olmajhnservice.com/
  • http://olmajhnservice.com/nt.php
  • http://olmajhnservice.com/nt.php/
  • http://olmajhnservice.com/nt.php/?dt=
  • http://olmajhnservice.com/nt.php/?dt=%25username%25-EX-3ct=1
  • http://olmajhnservice.com/nt.php?dt=%25computername%25-ex-1&amp
  • http://olmajhnservice.com/nxl/nx
  • http://olmajhnservice.com/nxl/nx/
  • http://olmajhnservice.com/updateReqServ10893x.php?x=035347
  • http://urocakpmpanel.com/
  • http://urocakpmpanel.com/axl/ax
  • http://urocakpmpanel.com/nt.php/?dt=%25computername%25-****
  • http://urocakpmpanel.com/nt.php?dt=%25computername%25-****
  • http://urocakpmpanel.com:33324/
  • https://levarisnetqlsvc.net/lt.php
  • https://levarisnetqlsvc.net/lt.php/?dt=%25computername%25-LT-2&ct=LT
  • https://olmajhnservice.com/
  • https://olmajhnservice.com/nt.php/
  • https://olmajhnservice.com/nt.php/?dt=%25computername%25-BKP&ct=BKP
  • https://olmajhnservice.com/nt.php/?dt=%25computername%25-EX-1
  • https://olmajhnservice.com/nt.php/?dt=%25computername%25-EX-1&amp
  • https://olmajhnservice.com/nt.php/?dt=%25computername%25-EX-1&ct=1
  • https://olmajhnservice.com/nt.php/?dt=%25computername%25-EX-1&ct=1
  • https://olmajhnservice.com/nt.php/?dt=%25computername%25-EX-2&ct=2
  • https://olmajhnservice.com/nt.php/?dt=%25computername%25-EX-3&ct=3
  • https://olmajhnservice.com/nt.php/?dt=%25username%25-EX-3&ct=1
  • https://olmajhnservice.com/nt.php/?dt=%25username%25-EX-3&ct=1
  • https://urocakpmpanel.com/
  • https://urocakpmpanel.com/nt.php
  • https://urocakpmpanel.com/nt.php/?dt=%25computername

SSL Certificate SHA-1

  • 04a75df9b60290efb1a2d934570ad203a23f4e9c
  • 0cbf8c7ff9faf01a9b5c3874e9a9d49cbbf5037b
  • 25092b60d972e574ed593a468564de2394fa008b
  • 4fbde39a0735d1ad757038072cf541dfdc65faa3
  • 530f597666afc147886f5ad651b5071d0cc894ba
  • 5a972665b590cc77dcdfb4500c04acda5dc1cc4e
  • aeb02ac0c0f0793651f32a3c0f594ce79ba99e82

SHA1

  • 04a75df9b60290efb1a2d934570ad203a23f4e9c
  • 0cbf8c7ff9faf01a9b5c3874e9a9d49cbbf5037b
  • 25092b60d972e574ed593a468564de2394fa008b
  • 4fbde39a0735d1ad757038072cf541dfdc65faa3
  • 530f597666afc147886f5ad651b5071d0cc894ba
  • 5a972665b590cc77dcdfb4500c04acda5dc1cc4e
  • aeb02ac0c0f0793651f32a3c0f594ce79ba99e82

SHA256

  • 3fdf291e39e93305ebc9df19ba480ebd60845053b0b606a620bf482d0f09f4d3
  • 490e9582b00e2622e56447f76de4c038ae0b658a022e6bc44f9eb0ddf0720de6
  • 69b397400043ec7036e23c225d8d562fdcd3be887f0d076b93f6fcaae8f3dd61
  • 90fd32f8f7b494331ab1429712b1735c3d864c8c8a2461a5ab67b05023821787
  • b0b687977eee41ee7c3ed0d9d179e8c00181f0c0db64eebc0005a5c6325e8a82
  • b7765ff16309baacff3b19d1a1a5dd7850a1640392f64f19353e8a608b5a28c5
  • ce922a20a73182c18101dae7e5acfc240deb43c1007709c20ea74c1dd35d2b12
  • e4545764e0c54ed1e1321a038fa2c1921b5b70a591c95b24127f1b9de7212af8
  • f7ed5eec6d1869498f2fca8f989125326b2d8cee8dcacf3bc9315ae7566963db
  • fa0ed2faa3da831976fee90860ac39d50484b20bee692ce7f0ec35a15670fa92
Комментарии: 0