Фішингова кампанія Emotet - оновлення IoC
Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять шкідливий документ MS Word або посилання на його завантаження.
Рівень загрози: СЕРЕДНІЙ
Зразок електронного повідомлення:
Детальний опис:
Звертаємо увагу, що розсилання шкідливих листів відбувається безпосередньо через скомпроментовані поштові скриньки (близько 1000 для даної кампанії), подібні листи легко обминають системи захисту організації та дістаються скриньки кінцевого користувача, бо містять лише текст та посилання на завантаження шкідливого файлу MS Word, при цьому назви файлів, що завантажуються генеруються випадково.
Завантажений файл містить VBA-макроси, виконання яких призводить до запуску та передачі команд до powershell для завантаження екземпляру шкідливого файлу, що є зразком EMOTET.
Завантаження шкідливого виконуваного файлу відбувається за одним із посиланнь, що генерується випадково із пулу посилань (див. IoC).
Шкідливий зразок зберігається в системі та перезапускається під іншим ім’ям та з іншої локації, а також відбувається його додавання до автозавантаження. Після закріплення в системі відбувається комунікація з C2 - серверами. Основна мета – це крадіжка облікових даних користувача від систем банківського обслуговування.
Поштовий лист –> URL або MS Word -> macros -> powershell -> GET URL –> EMOTET.exe –> Banker&Evader&Trojan/Bot
Механізм роботи:
Індикатори кіберзагроз:
Main object - "***.doc"
SHA-1
010ee463ed7022fb49d2e01dea397b3af28ecf04
01282af92851848dc6b50b7088ad8955852042c3
033a50ba520d35f5e5d65ef0985a7d4da64f716b
0a301f5b4b2a7be0b4b23a530c07e47c36131a2b
14383831efaf7d547bc5f4b718e8694fc7101ceb
15e46154c0cb8e20e1fb6584231d8da05ceb6515
1f48a65c2f3f565018353fe35db620fc301fa41a
1f7757e9afd8b8f9b3bfbf77ab35b63dd6c1c9fc
1fe048f36cc031a916bcc5b10cc93e9cf1ad9940
21d55bfa4f70962a886aa62cf63e7537f94c372d
2db93fbe1964fe70ef070d5f9f2058280d650166
47c4dab47f0ef4535986cc03fff6a876cf2bff42
78b1d64153ca3769003aec080d217976e73124cf
7f8198d966bb6be82a11517d6269ecfc4d2f089d
88a872e263866348a753bfcf42b89f8e740b2426
a6159db0954f2a6db78d6af84d785a72b9eced3e
b4bb4e3714a9eb36528aafe321e0fb6964aacc05
b63e7bd1d94e9c866ea52ca2b8705c9c4be164d6
b86a486c368ed19d978fc40a7f4e0486619c2c3a
c2b50562f30593a90bad8eb6c2d1e70dcd889a9e
e130739167071f7e5b29db0698a5e13636308ab1
e33f8d4ba72c44b3c223fe92726e0582dc9f278d
e5b28651d320e9e291842102819af9ed69d1efd5
fb9a56d9b249d73f9648beea6e92d8b11c01cffa
SHA-1 x-dosexec - "***.exe"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 "***.doc"
hxxps://www.zonzo.app/wp-content/eTrac/emhu1pi8v/fn82v-6839665627-2289-ymg89z8f7-slb5fqe03w/
hxxps://watchlivehdtv24.xyz/wp-admin/attachments/1wuhxaguv2bz/
hxxps://wtpotus.com/wp-includes/fonts/Overview/a-439781817-684199647-x55fnl-se0u4attoc/
hxxp://www.setonmach.cn/wp-includes/LLC/mcf1c-956-23220482-f7pcdjgnkd-46lo8bc/
hxxp://curranhomecompany.ie/assets/FILE/
hxxp://kbxiucheph.com/wp-admin/178067
hxxp://successkaadda.com/wp-includes/docs
hxxp://technologyadvantages.000webhostapp.com/wp-admin/payment/l68ye9r5nl/x17-91072-45-57r3shhfp6-2h03ekdrpsq
hxxp://aimeept.com/wp-includes/INC/1p-2884648-38128-qqew-hxrig8/
hxxps://urbanbasis.com/wp-admin/report/not0sc
hxxp://drivechains.org/wp-admin/LLC/awt4g0whh5/q7imk-98785-833764429-pvty-s4etwgmk
hxxps://www.diamondknit.net/wp-includes/statement/
hxxp://cordelta-web.cordelta.digital/wp-includes/Scan/kqrtcw/574uz1v-33900-64-d022p703-ukw4wyp8me0p/
hxxp://curranhomecompany.ie/assets/FILE/
hxxp://txfc58.com/wordpress/oct/9wqwjf/8xvdo-7101650-489-veq74nw-048gn
hxxps://bkv-marktvergleich.com/wp-content/browse/ia8hfyntg/
hxxp://uaq-escorts.com/2vlc/public/q5em-30268-049167-sozd667i7m7-rgr5imoxhbt4
hxxps://bahcelievler-rotary.org/o767/payment/482no4tgy/
hxxps://staging.westlondon-musictutors.co.uk/css/payment/txdz0fzn48ux/u1l1oe-116703-38-hjeeu4xm8wi-2rlw5mqs/
hxxps://trendingup.life/wp-includes/public/47y5iv/
hxxps://ifrikiaedibleoil.com/modules/browse/77tsn0ygiu6i/g79s-6273158-0346-zh8fl3ge-3sscfxya5/
hxxps://www.proqual.com.tn/xmenial/public/4yg-94404336-86324239-zrv48l9lb-t1qofp9/
hxxp://gachboori.ir/wp-content/LLC/
hxxp://sabada.ir/wp-content/invoice/jcgoep/
hxxp://polandpresents.info/libraries/statement/i6bkyofwihoo/t22f7j-757073672-96-504wghr-so1m/,
hxxps://com-unique.tn/xmenial/DOC/a3sfg-2399508105-71-bi2e1-hya2fc5saiw/
hxxp://itfirms.concatstring.com/__MACOSX/121263869/txpwgw8p0gmm/w6qf5x-8103-173-5ukd-wf4w3it4ynv/
hxxps://fam.com.tn/xmenial/LLC/
hxxp://garama.es/wp-admin/balance/dfeowzvmv99
hxxp://briannarick.com/events-tools/Reporting/qo2bh1t/
hxxp://tamison.ir/wp-admin/docs/v1599q2jg4m/tg2-031723198-3981129-gt5kp-h2vr/
hxxp://jamirick.com/wp-admin/OCT/yc1f5h/fu7ocj-314-8519-xresu50-7x2luruq/
hxxps://www.depannage-reparateur-lave-linge.com/wp-includes/paclm/co-180-02490820-y72io-fd55h10oaq/
hxxp://ignaciuk.pl/Smarty-2.6.22/parts_service/lzltm09f/
hxxp://yongcaibao.com/wp-admin/Overview/j-254512010-367995-76mz1gv-fh4zhz9ue/
hxxp://gotrukz.com/wp-content/public/7gauugj6n/ge-230-394554-g3xavfb-pz8s9zk3es8f/
hxxp://horal.sk/2016/7430252247829179/82fgkg24p42/keb85d-151-38919-jme4zxjo922-c9ukup5am/
hxxp://disperindag.papuabaratprov.go.id/cgi-bin/attachments/
hxxp://bur-dubaiescorts.com/wp-admin/parts_service/k2uc0u4wye/ob-996426-339-6fiqams1-ad9ve0a8/
hxxps://ldpneus.re/WEFiles/attachments/wqckr0-0168634-170-lmzqgucyh-h7yp29
hxxp://servicemanager.net.in/wp-admin/LLC/wdqebpqj/
hxxp://hammerhelm.com/dev/swift/bn7jk6bq9/
hxxps://instascan.vot.by/js/LLC/ursq1rlxp225/losu7bm-3853493003-9228413-0t2j-qwuty/
hxxps://freshjobportal.com/wp-content/LLC/u5zm1cv-7056689-42161858-ome10-wz9q49w/
hxxps://atttechcare.000webhostapp.com/wp-admin/report/4s6hincbxf/
hxxp://iprointeractive.ca/wp-includes/Documentation
hxxp://axen.com.pl/pix/G7BUHWBWUWNZ/5k-8262730-263-necwua112o-8ewwluq7vc89/
hxxp://grammercygroup.com/cgi-bin/OCT/xehw32/
hxxps://jumpycrypto.com/web_map/Overview/j570d58/3jya-2056126952-53-3rlhi-4hkvpq05/
hxxp://hondahatinh.vn/engl/Document/b4rwd4f-03692-646610219-obiiv-u202irz6e1/
IP Download "***.doc"
3.123.145.60
167.86.102.105
162.241.76.200
122.114.221.252
104.24.124.137
104.24.125.137
154.215.170.226
151.106.5.6
145.14.144.144
160.153.204.204
79.170.167.100
66.23.252.162
148.163.67.135
178.128.107.172
104.24.125.137
104.24.124.137
23.225.123.149
185.21.102.97
46.166.189.98
46.45.166.245
62.75.146.112
67.225.210.183
147.135.192.204
147.135.192.204
88.99.215.8
88.99.215.8
79.96.12.16
147.135.192.204
68.66.224.42
147.135.192.204
205.144.171.158
104.27.181.130
104.27.180.130
5.135.231.147
66.85.150.203
51.178.25.125
188.68.243.193
192.186.11.170
54.169.165.95
213.215.124.204
103.109.0.20
46.166.189.98
94.23.33.137
182.71.243.99
118.185.120.164
66.85.150.203
45.55.69.246
63.250.34.142
145.14.144.144
67.225.154.71
144.76.75.238
209.59.164.27
206.81.6.140
45.77.10.203
Download x-dosexec - "***.exe"
hxxp://insatechsupply.com/prkcu/2jzbh/
hxxp://iranoca.com:80/dup-installer/py18r0/
hxxp://gaijinmassoterapia.com/calendar/5H/
hxxp://klkindia.com/wp-includes/su/
hxxp://kitkatstudio.com/brambedkarsws.com/Oios8Qm/
IP Download x-dosexec - "***.exe"
94.130.200.225
166.62.28.81
107.180.46.242
107.180.24.238
107.180.14.67
C&C POSTs
hxxp://173.91.11.142:80/4NzReHGWPIaVtGmi
hxxp://66.209.97.122:8080/eOBIZMFpu9
hxxp://87.106.225.180:8080/kET64tfLGolgKrwpXK
hxxp://174.77.190.137:8080/0ttG9L5
hxxp://104.137.176.186/uyag1r
hxxp://165.227.156.155:443/SIvNBmYAdfT
hxxp://167.99.105.223:7080/OdxRGJcCjVdsPZ79X