Фішингова кампанія Emotet

Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять шкідливе посилання на завантаження зловмисного документу MSWORD.

Рівень загрози: СЕРЕДНІЙЗразок електронного повідомлення:

Детальний опис:

Звертаємо увагу, що подібні листи легко обминають системи захисту організації та дістаються скриньки кінцевого користувача, бо містять лише текст та посилання на завантаження шкідливого файлу MS Word, при цьому назви файлів, що завантажуються генеруються випадково.
Завантажений файл містить VBA-макроси, виконання яких призводить до запуску та передачі команд до powershell для завантаження екземпляру шкідливого файлу, що є зразком EMOTET.

Завантаження шкідливого виконуваного файлу відбувається за одним із посиланнь, що генерується випадково із пулу посилань:

     hxxp://gaijinmassoterapia.com/calendar/5H/
     hxxp://klkindia.com/wp-includes/su/
     hxxp://kitkatstudio.com/brambedkarsws.com/Oios8Qm/
     hxxp://insatechsupply.com/prkcu/2jzbh/
     hxxp://testdavisramsay.x10host.com/1556305024621/1ywa22/

Шкідливий зразок зберігається в системі та перезапускається під іншим ім’ям та з іншої локації, а також відбувається його додавання до автозавантаження.

Після закріплення в системі відбувається комунікація з C2 - серверами.

Основна мета – це крадіжка облікових даних користувача від систем банківського обслуговування.

Поштовий лист  –>  URL -> macros -> powershell -> GET URL –>  EMOTET.exe –> Banker&Evader&Trojan/Bot

Механізм роботи:

 

Індикатори кіберзагроз:

IP адреси з якої проводиться розсилання

     202.166.193.242

Main object - "***.doc"

     sha256     3ccedfe91522f14b0e730ad5ce7b264312cc0c08371d9f3cccc87a21935d90c9
     sha1           6315fecfc0bb5ffe4a9d769250ff881bc4788c64
     md5           5d1ef9e8c4100e5833896d82bbeeb0ac

Dropped files  - "***.exe"

     sha256      ae0a1d4968d3cb7a3c1f9397cb8cd2df3624f5756d7e2a06fa0282d684168b6a
     sha1           d9be191ec9673de89d59729961fff0fc02332f3d
     md5           666d7707f56ad7417110c758aae68a57

DNS requests

     gaijinmassoterapia.com
     klkindia.com
     kitkatstudio.com
     insatechsupply.com
     testdavisramsay.x10host.com

Connections

     107.180.24.238      завантаження Emotet
     107.180.46.242      завантаження Emotet
     166.62.28.81          завантаження Emotet
     107.180.14.67          завантаження Emotet
     198.91.81.6             завантаження Emotet

     110.143.84.202        C2
     64.53.242.181         C2
     75.80.148.244        C2

HTTP/HTTPS requests

     hxxp://gaijinmassoterapia.com/calendar/5H/                                    завантаження Emotet
     hxxp://klkindia.com/wp-includes/su/                                                  завантаження Emotet
     hxxp://kitkatstudio.com/brambedkarsws.com/Oios8Qm/                завантаження Emotet
     hxxp://insatechsupply.com/prkcu/2jzbh/                                           завантаження Emotet
     hxxp://testdavisramsay.x10host.com/1556305024621/1ywa22/      завантаження Emotet

Key registry

     key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
     name: serialfunc
     operation: write
     typeValue: REG_SZ
     value: C:\Users\admin\AppData\Local\serialfunc\serialfunc.exe