BadPatch - троянец для Windows, который используется в кампаниях, связанных с Gaza Hackers.
BadPatch
Первоначальные атаки с использованием этой инфраструктуры были направлены на жертв посредством spear phishing. Также в любой известной кампании, связанной с Gaza Hackers, обнаруженно ограниченное использование эксплойтов уязвимостей - RTF-эксплойта CVE-2012-0158. Злоумышленники использовали RTF-эксплойт для загрузки своего вредоносного ПО "BadPatch" для Windows со взломанного сайта WordPress wp.piedslibres[.]com/wp/wp-includes/js/Next.scr.
| SHA256 | d759dcbebee18a65fda434ba1da5d348c16d9d3775fe1652a1dacf983ffc93b8 |
| First seen | 2015-05-13 |
| Filename | لمستجدات.doc , (Developments.doc) |
Далее был обнаружен второй образец атаки с использованием того же эксплойта, который также загрузил то же вредоносное ПО со взломанного сервера.
| Filename | 6660491190525a7413b683b91a6c8b0082aa71e6dd6291d11ec26e1e3cf55a57 |
| First seen | 2015-06-15 |
| Filename | تسنيم.doc (Tasneem.doc – the military organization of Fatah (political Palestinian movement)) |
В большинстве наблюдаемых нами атак вредоносная программа отображает пустой файл-приманку Microsoft Word или файл Microsoft Word с сообщением об ошибке:
"Произошла ошибка, пожалуйста, повторите запрос позже".
Мы наблюдали некоторые вариации этой атаки. Первый обнаруженный нами образец вредоносной программы (скомпилированный 12 июня 2012 года) отображал файл-приманку Adobe Flash (Рисунок 2):
| SHA256 | 92a685c0c8515ef55635760026039564ddd0b299a2b0c4812df3c40aba133812 |
Рисунок 2- Adobe Flash обманка
В образцах обычно используются имена файлов-обманок, специально подобранные для объекта атаки:
| SHA256 | 30282a807c2ee27b0d1dda310e41487f5018bc5fc5df8af6c13d08df34f2b6df |
| Filename | عاجل جدا وسري جدا.gz (Very urgent and very confidential. Gz) |
| SHA256 | cc8020c36156c7e5c8cfbbb32bc8d7f03536510f4e3b38b22e0abdb9ad90c90e |
| Filename | ,اسماء المستحقين للمالية.scr (The names of the beneficiaries of Finance. scr) |
| SHA256 | 1a65e43afaaff90b4124cbef21fadc319f10fba4843d09837219400b0dbcc285 |
| Filename | الهباش يتحدى حماس الاعتراف.scr (Habash defies Hamas recognition.scr) |
| SHA256 | 2c64a3d6b896ee1b58b9cf55531b7256de45025d60b1f4be764b385de087b52f |
| Filename | Statement of Account-ARABBANK.exe |
Indicators of Compromise
IPv4
- 148.251.135.117
- 195.154.216.74
SHA256
- d759dcbebee18a65fda434ba1da5d348c16d9d3775fe1652a1dacf983ffc93b8
- 92a685c0c8515ef55635760026039564ddd0b299a2b0c4812df3c40aba133812
- 30282a807c2ee27b0d1dda310e41487f5018bc5fc5df8af6c13d08df34f2b6df
- cc8020c36156c7e5c8cfbbb32bc8d7f03536510f4e3b38b22e0abdb9ad90c90e
- 1a65e43afaaff90b4124cbef21fadc319f10fba4843d09837219400b0dbcc285
- 2c64a3d6b896ee1b58b9cf55531b7256de45025d60b1f4be764b385de087b52f
TTP - тактика, техника, процедуры
Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые BadPatch.
| ID | Техника | CWE | Описание | Доверие |
| 1 | T1068 | CWE-269 | Выполнение с излишними привилегиями | Высокий |
| 2 | T1110.001 | CWE-798 | Неправильное ограничение чрезмерных попыток аутентификации | Высокий |