Розсилання шкідливих електронних листів #COVID19
Зафіксовано розсилання електронних листів, що замасковані під щоденний звіт COVID-19 та рекомендовані міри захисту від пандемії. Розсилання проводилось від імені доменів fonasba.com та tgi.com. За допомогою цих листів відбувається доставка шкідливого програмного забезпечення AveMaria.
Зразок електронного повідомлення:
Детальний опис:
Всі отримані листи містили подібні шкідливі вкладення, а саме rtf документи, що в свою чергу у футері документу містять 10 однотипних ole-об’єктів типу Exel.SheetMacroEnabled.12:
У випадку відкриття шкідливого файлу відбувається автоматичне відпрацювання макросу (AutoExec), що містяться у цих ole-обєктах.
Шляхом зчитування значення клітинки H134 аркушу qwKmT (близько 3,75 кб) та його перекодуванням, макрос здійснює формування обфускованої команди та передає її на виконнаня у прихований екземпляр powershell.exe:
Особливістю виконання даної команди є те, що вона вимикає механізм AMSI шляхом виправлення у пам’яті. Anti Malware Scan Interface це універсальний інтерфейс для додатків, який дозволяє звертатися до встановлених антивірусних програмних засобів для додаткової перевірки процесів на більш глибокому рівні (доступний у Windows 10). AMSI обробляє всі команди в PowerShell з метою блокування підозрілих та зловмисних, використовуючи при цьому строкову фільтрацію. Є декілька шляхів обходу механізмів захисту AMSI, які необхідно виконати перед виконанням зловмисної команди, шляхом компіляції спеціальної бібліотеки та завантаженням її коду в сесію PowerShell.
За результатами виконання команди відбувається завантаження з ресурсу http://unlimitedimportandexport.com шкідливого виконуваного файлу та його запуск. Цей файл є екземпляром шкідливого шпигунського ПЗ AveMaria (info stealer & keylogger), яке викрадає персональні дані користувача (логіни та паролі, дані авторизації сесій, платіжних карток та крипто гаманців, тощо). Характерною особливістю цього шкідливого ПЗ є можливість використання інструментів WMI і розповсюдження за допомогою змінних носіїв.
Під час відпрацювання зловмисне програмне забезпечення перезапускає себе декілька разів, а також здійснює ін’єкцію коду у інший процес.
Закріплення у системі відбувається шляхом додавання в автозавантаження:
Рівень загрози: СЕРЕДНІЙ
Поштовий лист –> *.rtf –> ole-object –> macros –> powershell.exe –> *.exe –> #AveMaria
Механізм роботи:
Дерево процесів (загальне)
Дерево процесів (AveMaria)
Індикатори кіберзагроз:
IP адреса з якої проводиться розсилання
103.125.190.246
89.40.115.43
Main objects
FINLAND UPDATE 04.06.2020.doc
sha256 b557edeb7c35a0545e780cfea1b057ed73a8835cbd80fc3534bf6b1da89975b1
sha1 9313dcdf8439132ef23a51cc6cdbc117a7383836
md5 0049c68c643a550bd60f3791e818ef07
COVID-19 REPORT.doc
sha256 277ca0574a1ff8cbebe3f30e59736775962135aaa5ff0f7decd2b6c247a4ae8a
sha1 45264454889b66516d19d479be0f47526eea2403
md5 84aefa0cc8a4c54c601b7635d3ad4d0d
COVID-19 LATEST.doc
sha256 19ec071e413a88d0de44d0837486ecb6adfdbfeb85edd64db560af556effe7ee
sha1 d2d5af40c2fbd01c2f8fe2c367a391eeb5abd4d5
md5 2a248f2c9f8e415832a18d28e4f5fd5d
Dropped executable file
sha256 C:\Users\admin\AppData\Roaming\qf72c.exe 69934cea9655968684880df302308198b7384f716d39040061b961ee86716e5f
sha256 C:\Users\admin\AppData\Roaming\a84de.exe c54a276e61325e077f3ff7fcdbba9e046afb8514fa0a6d6a55506d0e17ac05d5
DNS requests
domain unlimitedimportandexport.com
Connections
ip 74.208.236.42
ip 79.134.225.114
HTTP/HTTPS requests
url hxxp://unlimitedimportandexport.com/wp-content/plugins/all-in-one-wp-migration/lib/XgWoL.exe
url hxxp://unlimitedimportandexport.com/wp-content/plugins/all-in-one-wp-migration/lib/cvxjR.exe