Фішингова кампанія Emotet - оновлення IoC

Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять шкідливий документ MS Word або посилання на його завантаження.

Рівень загрози: СЕРЕДНІЙ

Зразок електронного повідомлення:

Детальний опис:

Звертаємо увагу, що розсилання шкідливих листів відбувається безпосередньо через скомпроментовані поштові скриньки (близько 1000 для даної кампанії), подібні листи легко обминають системи захисту організації та дістаються скриньки кінцевого користувача, бо містять лише текст та посилання на завантаження шкідливого файлу MS Word, при цьому назви файлів, що завантажуються генеруються випадково.
Завантажений файл містить VBA-макроси, виконання яких призводить до запуску та передачі команд до powershell для завантаження екземпляру шкідливого файлу, що є зразком EMOTET.

Завантаження шкідливого виконуваного файлу відбувається за одним із посиланнь, що генерується випадково із пулу посилань (див. IoC).
Шкідливий зразок зберігається в системі та перезапускається під іншим ім’ям та з іншої локації, а також відбувається його додавання до автозавантаження. Після закріплення в системі відбувається комунікація з C2 - серверами. Основна мета – це крадіжка облікових даних користувача від систем банківського обслуговування.

Поштовий лист  –>  URL або MS Word -> macros -> powershell -> GET URL –>  EMOTET.exe –> Banker&Evader&Trojan/Bot

Механізм роботи:

My alt text

Індикатори кіберзагроз:

Main object - "***.doc"

SHA-1

     010ee463ed7022fb49d2e01dea397b3af28ecf04
     01282af92851848dc6b50b7088ad8955852042c3
     033a50ba520d35f5e5d65ef0985a7d4da64f716b
     0a301f5b4b2a7be0b4b23a530c07e47c36131a2b
     14383831efaf7d547bc5f4b718e8694fc7101ceb
     15e46154c0cb8e20e1fb6584231d8da05ceb6515
     1f48a65c2f3f565018353fe35db620fc301fa41a
     1f7757e9afd8b8f9b3bfbf77ab35b63dd6c1c9fc
     1fe048f36cc031a916bcc5b10cc93e9cf1ad9940
     21d55bfa4f70962a886aa62cf63e7537f94c372d
     2db93fbe1964fe70ef070d5f9f2058280d650166
     47c4dab47f0ef4535986cc03fff6a876cf2bff42
     78b1d64153ca3769003aec080d217976e73124cf
     7f8198d966bb6be82a11517d6269ecfc4d2f089d
     88a872e263866348a753bfcf42b89f8e740b2426
     a6159db0954f2a6db78d6af84d785a72b9eced3e
     b4bb4e3714a9eb36528aafe321e0fb6964aacc05
     b63e7bd1d94e9c866ea52ca2b8705c9c4be164d6
     b86a486c368ed19d978fc40a7f4e0486619c2c3a
     c2b50562f30593a90bad8eb6c2d1e70dcd889a9e
     e130739167071f7e5b29db0698a5e13636308ab1
     e33f8d4ba72c44b3c223fe92726e0582dc9f278d
     e5b28651d320e9e291842102819af9ed69d1efd5
     fb9a56d9b249d73f9648beea6e92d8b11c01cffa

SHA-1 x-dosexec  - "***.exe"

     56ec3f3f03b57003c39afd10a1838e7772b9d9905de7215fcf2fbc23c69dbe7b
     a5968f6c6f4b8d274380d5b240f3eff653bcda825e15761588e737a7e44e1e8a
     5c84483af9f02fea51176bdda72ac326a973080d10670d17bd22bcf04ad4fecd
     70057bfd6ef484fbb835ca8bcb669b7fa376b04ec28af8ba55ccd89019ae99d2
     611b1ebbdbd23318580b5fd0bbc24e027858f785b15e109f2a62c8edb589eab5
     35f864220b9840308b7d407d5ce0ccdcf72c8b1774268d2a8bd0637f07a53bc3
     ab99c6ad47ec290158f0b7bde3d8408fe9d33ee7af3e67bc54471c25364caef8
     e38664f84a76e80c982097d97b882e7c4102cdccf7cac28b4b7c4ee89833c2e9
     78c8fc745ad787c1ab14bb28045ff06ac0261fd46cc92956f2d64d45ee0eb50d
     2ece89a18b335be779c2e64bbb758a780f47e77a36aeb6adae8d9643c27c5956
     c9e2eaeead75b177904cb9886cdaf64bca7cc5da354883c68d20e4b3a9351d31
     fe3d24038799b232e3ae6aabca7691c41d68353d840f2f57bb86f485582be8d8
     564f9e9e26cc2b1dcea7e2900c70729a3dfae8dc3c30a8303aea16e6a29ecd1a
     f0172f5a7ffd4e9e1b3701db740623e03962d69428e9f0c97edbbafd477a296f
     642411a3876859043f1e6a545d04da6afbdd0be5ef2b06ab4b1ed47fc0bc5a6c
     195e3a06a4c61610f998487fcb013e504b9a915cd196d56302a8d3a4d86eacac
     184040912b37d8f4d94f70d5a135aab593a0257996b3baf96615e65e8fd3a53e
     cb731653d23d21925af4f140c367c6ea103c6bfa13b36b62c67b2f98013722e7
     d857466ad2aaab32ceebb76ed67ff13ced81a814cc41cfda975e9176eae4b048
     ce76efe03c1077afb3e583d2b8e500518f74de92b9b59e6ba01425e27936e459

Download "***.doc"

     hxxps://www.zonzo.app/wp-content/eTrac/emhu1pi8v/fn82v-6839665627-2289-ymg89z8f7-slb5fqe03w/
     hxxps://watchlivehdtv24.xyz/wp-admin/attachments/1wuhxaguv2bz/
     hxxps://wtpotus.com/wp-includes/fonts/Overview/a-439781817-684199647-x55fnl-se0u4attoc/
     hxxp://www.setonmach.cn/wp-includes/LLC/mcf1c-956-23220482-f7pcdjgnkd-46lo8bc/
     hxxp://curranhomecompany.ie/assets/FILE/
     hxxp://kbxiucheph.com/wp-admin/178067
     hxxp://successkaadda.com/wp-includes/docs
     hxxp://technologyadvantages.000webhostapp.com/wp-admin/payment/l68ye9r5nl/x17-91072-45-57r3shhfp6-2h03ekdrpsq
     hxxp://aimeept.com/wp-includes/INC/1p-2884648-38128-qqew-hxrig8/
     hxxps://urbanbasis.com/wp-admin/report/not0sc
     hxxp://drivechains.org/wp-admin/LLC/awt4g0whh5/q7imk-98785-833764429-pvty-s4etwgmk
     hxxps://www.diamondknit.net/wp-includes/statement/
     hxxp://cordelta-web.cordelta.digital/wp-includes/Scan/kqrtcw/574uz1v-33900-64-d022p703-ukw4wyp8me0p/
     hxxp://curranhomecompany.ie/assets/FILE/
     hxxp://txfc58.com/wordpress/oct/9wqwjf/8xvdo-7101650-489-veq74nw-048gn
     hxxps://bkv-marktvergleich.com/wp-content/browse/ia8hfyntg/
     hxxp://uaq-escorts.com/2vlc/public/q5em-30268-049167-sozd667i7m7-rgr5imoxhbt4
     hxxps://bahcelievler-rotary.org/o767/payment/482no4tgy/
     hxxps://staging.westlondon-musictutors.co.uk/css/payment/txdz0fzn48ux/u1l1oe-116703-38-hjeeu4xm8wi-2rlw5mqs/
     hxxps://trendingup.life/wp-includes/public/47y5iv/
     hxxps://ifrikiaedibleoil.com/modules/browse/77tsn0ygiu6i/g79s-6273158-0346-zh8fl3ge-3sscfxya5/
     hxxps://www.proqual.com.tn/xmenial/public/4yg-94404336-86324239-zrv48l9lb-t1qofp9/
     hxxp://gachboori.ir/wp-content/LLC/
     hxxp://sabada.ir/wp-content/invoice/jcgoep/
     hxxp://polandpresents.info/libraries/statement/i6bkyofwihoo/t22f7j-757073672-96-504wghr-so1m/,
     hxxps://com-unique.tn/xmenial/DOC/a3sfg-2399508105-71-bi2e1-hya2fc5saiw/
     hxxp://itfirms.concatstring.com/__MACOSX/121263869/txpwgw8p0gmm/w6qf5x-8103-173-5ukd-wf4w3it4ynv/
     hxxps://fam.com.tn/xmenial/LLC/
     hxxp://garama.es/wp-admin/balance/dfeowzvmv99
     hxxp://briannarick.com/events-tools/Reporting/qo2bh1t/
     hxxp://tamison.ir/wp-admin/docs/v1599q2jg4m/tg2-031723198-3981129-gt5kp-h2vr/
     hxxp://jamirick.com/wp-admin/OCT/yc1f5h/fu7ocj-314-8519-xresu50-7x2luruq/
     hxxps://www.depannage-reparateur-lave-linge.com/wp-includes/paclm/co-180-02490820-y72io-fd55h10oaq/
     hxxp://ignaciuk.pl/Smarty-2.6.22/parts_service/lzltm09f/
     hxxp://yongcaibao.com/wp-admin/Overview/j-254512010-367995-76mz1gv-fh4zhz9ue/
     hxxp://gotrukz.com/wp-content/public/7gauugj6n/ge-230-394554-g3xavfb-pz8s9zk3es8f/
     hxxp://horal.sk/2016/7430252247829179/82fgkg24p42/keb85d-151-38919-jme4zxjo922-c9ukup5am/
     hxxp://disperindag.papuabaratprov.go.id/cgi-bin/attachments/
     hxxp://bur-dubaiescorts.com/wp-admin/parts_service/k2uc0u4wye/ob-996426-339-6fiqams1-ad9ve0a8/
     hxxps://ldpneus.re/WEFiles/attachments/wqckr0-0168634-170-lmzqgucyh-h7yp29
     hxxp://servicemanager.net.in/wp-admin/LLC/wdqebpqj/
     hxxp://hammerhelm.com/dev/swift/bn7jk6bq9/
     hxxps://instascan.vot.by/js/LLC/ursq1rlxp225/losu7bm-3853493003-9228413-0t2j-qwuty/
     hxxps://freshjobportal.com/wp-content/LLC/u5zm1cv-7056689-42161858-ome10-wz9q49w/
     hxxps://atttechcare.000webhostapp.com/wp-admin/report/4s6hincbxf/
     hxxp://iprointeractive.ca/wp-includes/Documentation
     hxxp://axen.com.pl/pix/G7BUHWBWUWNZ/5k-8262730-263-necwua112o-8ewwluq7vc89/
     hxxp://grammercygroup.com/cgi-bin/OCT/xehw32/
     hxxps://jumpycrypto.com/web_map/Overview/j570d58/3jya-2056126952-53-3rlhi-4hkvpq05/
     hxxp://hondahatinh.vn/engl/Document/b4rwd4f-03692-646610219-obiiv-u202irz6e1/

IP Download "***.doc"

     3.123.145.60
     167.86.102.105
     162.241.76.200
     122.114.221.252
     104.24.124.137
     104.24.125.137
     154.215.170.226
     151.106.5.6
     145.14.144.144
     160.153.204.204
     79.170.167.100
     66.23.252.162
     148.163.67.135
     178.128.107.172
     104.24.125.137
     104.24.124.137
     23.225.123.149
     185.21.102.97
     46.166.189.98
     46.45.166.245
     62.75.146.112
     67.225.210.183
     147.135.192.204
     147.135.192.204
     88.99.215.8
     88.99.215.8
     79.96.12.16
     147.135.192.204
     68.66.224.42
     147.135.192.204
     205.144.171.158
     104.27.181.130
     104.27.180.130
     5.135.231.147
     66.85.150.203
     51.178.25.125
     188.68.243.193
     192.186.11.170
     54.169.165.95
     213.215.124.204
     103.109.0.20
     46.166.189.98
     94.23.33.137
     182.71.243.99
     118.185.120.164
     66.85.150.203
     45.55.69.246
     63.250.34.142
     145.14.144.144
     67.225.154.71
     144.76.75.238
     209.59.164.27
     206.81.6.140
     45.77.10.203

Download x-dosexec  - "***.exe"

     hxxp://insatechsupply.com/prkcu/2jzbh/
     hxxp://iranoca.com:80/dup-installer/py18r0/
     hxxp://gaijinmassoterapia.com/calendar/5H/
     hxxp://klkindia.com/wp-includes/su/
     hxxp://kitkatstudio.com/brambedkarsws.com/Oios8Qm/

IP Download x-dosexec  - "***.exe"

     94.130.200.225
     166.62.28.81
     107.180.46.242
     107.180.24.238
     107.180.14.67

C&C POSTs

     hxxp://173.91.11.142:80/4NzReHGWPIaVtGmi
     hxxp://66.209.97.122:8080/eOBIZMFpu9
     hxxp://87.106.225.180:8080/kET64tfLGolgKrwpXK
     hxxp://174.77.190.137:8080/0ttG9L5
     hxxp://104.137.176.186/uyag1r
     hxxp://165.227.156.155:443/SIvNBmYAdfT
     hxxp://167.99.105.223:7080/OdxRGJcCjVdsPZ79X