9002 Trojan

remote access Trojan Security
Опубликовано

9002 - троянская вирусная программа, передаваемая с помощью комбинации сокращенных ссылок и общего файла, размещенного на Google Drive. Метод доставки также использует сервер, контролируемый агентом, на котором размещен пользовательский скрипт перенаправления для отслеживания успешных кликов по целевым адресам электронной почты.

9002 Trojan

Также было установлено, что инфраструктура, связанная с этим образцом троянца 9002, имеет связи с атаками на Мьянму и другие азиатские страны, которые использовали Poison Ivy в качестве полезной нагрузки, включая недавнюю и, возможно, продолжающуюся кампанию против Тайваня.
Хотя на данный момент нет конкретной телеметрии по этой атаке, предполагается, что она основана на использовании сокращенной ссылки (в данном случае с помощью службы сокращения URL TinyURL) для доставки полезной нагрузки 9002. Сокращенный URL-адрес выглядит следующим образом:

  • hxxp://tinyurl[.]com/zmu4dry

Эта сокращенная ссылка перенаправляет на контролируемый сервер перенаправления, на котором размещен скрипт, отвечающий за перенаправление браузера в другое место. Приведенная выше сокращенная ссылка указывает на:

  • hxxp://222.239.91[.]152?<redacted>QGdtYWlsLmNvbWh0dHA6Ly90aW55dXJsLmNvbS9qZmo5b3V2

Приведенный выше URL содержит данные в кодировке base64, которые, затем будут декодированы сервером. Параметр в кодировке base64 в перенаправлении URL расшифровывается как:

  • <redacted>@gmail.comhttp://tinyurl[.]com/jfj9ouv

Адрес Gmail в декодированных данных является легитимным адресом известного политика и правозащитника в Мьянме. Сокращенный URL-адрес в расшифрованных данных, а именно 'hxxp://tinyurl[.]com/jfj9ouv', снова перенаправляет на:

  • hxxps://drive.google[.]com/uc?id=0B0eVt8dSXzFuN2ltVlVkVl8zNVU&authuser=0&export=download

Троян из облака

При реализации этой атаки сокращенная ссылка, на которую перенаправляет сервер перенаправления, указывает на Zip-файл, размещенный на Google Drive. Zip-архив имеет имя "2nd Myanmar Industrial Human Resource Development Symposium.zip" (SHA256: c11b963e2df167766e32b14fb05fd71409092092db93b310a953e1d0e9ec9bc3) и содержит один исполняемый файл, который был добавлен 13 июля 2016 года.

Исполняемый файл в этом Zip-архиве имеет имя "2nd Myanmar Industrial Human Resource Development Symposium.exe" (SHA256: 49ac6a6c5449396b98a89709b0ad21d078af783ec8f1cd32c1c8b5ae71bec129) и использует значок PowerPoint, чтобы обманом заставить жертву запустить исполняемый файл.

Indicators of Compromise

IPv4

  • 222.239.91.30
  • 222.239.91.152

SHA 256

  • 49ac6a6c5449396b98a89709b0ad21d078af783ec8f1cd32c1c8b5ae71bec129
  • c11b963e2df167766e32b14fb05fd71409092092db93b310a953e1d0e9ec9bc3

Domain

  • admin.nslookupdns.com
  • appupdatemoremagic.com
  • gooledriveservice.com
  • jackhex.md5c.net
  • logitechwkgame.com
  • microsoftdefence.com
  • microsoftserve.com
  • mxdnsv6.com
  • outhmail.com
  • queryurl.com
  • webserver.servehttp.com
Похожие записи:
  1. 00519ead Trojan
  2. Formbook Trojan IOCs
  3. Qakbot Trojan IOCs - Part 17
  4. Qakbot Trojan IOCs - Part 18
  5. PixPirate Trojan
9002 trojan
Добавить комментарий