Зафіксована фішингова кампанія Emotet

Повідомляємо, що відбувається кампанія з розсилання електронних листів які у вкладенні містять шкідливі MSword документи. Розсилання відбувається зі скомпрометованих поштових скриньок.

Зразок електронного повідомлення:

Детальний опис:

Вкладені .doc файли містять макроси. Для маскування вихідного коду VBA-макросів використано техніку VBA stomping. Ця техніка передбачає модифікацію або видалення вихідного коду VBA-макросу з документа MS Office, при цьому його скомпільована версія (p-code) — залишається без змін. Антивірусні системи, які аналізують лише вихідний код VBA-макросів у файлах MS Office не спрацьовують.

Оскільки документ містить макрос, при його відкритті спрацьовує попередження системи безпеки, для її вимкнення документ має інструкцію, що вводить в оману користувача.

При виконанні користувачем цих інструкцій виконується VBA-макрос, який викликає powershell з закодованою командою:

Розкодований скрипт:

Powershell завантажує екземпляр Emotet у кореневий каталог профілю користувача та за допомогою WMI запускає його. Кожний екземпляр копіює себе у каталог C:\Windows\System32\. Ім’я файлу копії залежить від екземпляру, у даному випадку C:\Windows\System32\perfos\CRPPresenation.exe. З метою обходу механізмів захисту операційної системи під час відкриття файлів завантажених з інтернету, у створеному файлі видаляється альтернативний потік Zone.Identifier. Запущена копія здійснює С&C комунікацію із серверами ботнет мережі.

Емотет використовується кіберзлочинцями як початкова точка входу, при цьому перебування в системі може бути без активних дій протягом декількох днів або тижнів. Тим часом інші загрози, такі як TrickBot, можуть доставлятися як вторинне корисне навантаження.

Emotet вперше було зафіксовано в 2014 році. Початкова версія була орієнтована на пошук та викрадення банківських даних користувачів зараженої системи. Згодом зловмисне ПЗ було переорієнтовано як транспортний модуль для доставки інших видів шкідливого ПЗ.

 

Рівень загрози: СЕРЕДНІЙ

Поштовий лист –> .doc -> macros -> powershell -> GET URL –> EMOTET.exe –> Banker&Evader&Trojan/Bot

Дерево процесів (загальне)

Індикатори кіберзагроз:

IP адреса з якої проводиться розсилання:

     65.39.216.67
     82.223.13.19
     138.128.175.149
     62.138.137.170
     110.4.44.18
     197.211.212.75

SMTP Sender:

     ezuzina@uz-cargo.com
     admire@customsservices.co.zw
     caceres@recicladoscaceressur.com
     sac.rj@tlog.com.br
     administracion@etoner.es

Malicious documents (SHA 256):

     003110462b096556a9d96dca0472feaa2dee2edaf6d8d0e179dc08a8a8f2b775
     00425963f98bc1ea70379e290e683bc3247541d9939b91d1825e3c4b92f26298
     008ffa9474c81c014910bf8c0e9417402388619b5e6ca8bb26d67678fc5add02
     04808644927ee4ee2afd1635e4f998de9740c04dc4bf72336e4c7faaaa7aff16
     0dbbb6599f01fe8f1817f54193e2969d69f49e504430db1e659cbc26706cfa2a
     15f2733b3a7dfc343c1186d5e821b8c4641d7823eae593d932faad5cbcd3c484
     17edd29207d9e7cfbd660d6dff7a0c660acefd0b02131aa2eb8d280975bdca74
     1b3a66fa218971358919a1dc0cbfcd9fdaac7ec3278bed6109f0df2550dfe3b7
     1cedf6604408daa4487f0f7d69db320dccc441b5a37ab755ba99d159442acc50
     24008d212916e04542b1f308917ce152914fc98dea21a3ac690999db725ea0bc
     262962b5fcfbc2fd14aa121ea6d5731ee54807c1d8f5cb14aedfa6437d1b764b
     283288b5bb193523ad2659b4cf322feea153048b6f27a8fa9673ca683bca177f
     2cccb5979a562d00936dba58168f63f56806a4013284bab9f2a8e84be5eee72e
     2da4a10c384d2bf3468b73d621de109cab5a29179b9d6cf4102c7b46dd937261
     31eca40e53bfafd9aba582a36d6acbd218f5c25002e67cb4d0bebddca0b73ce8
     3a27b053c2c3fafe4a45dec9f48127084b6f180a0fcc3ca2a08a3bdede5e1ff0
     3d808e9e116ecad94d0839d1a951f8aa24c96f6dfaaa774a889edbb38c857b56
     3e3dd4b5c84ca0594c997abe8ba64d32e96a1b7c303b96aaac0605785741fbb1
     3e9d864db108ff21b3dbc6aee0596264668e95aa02677c5e98cb40bc9bf40998
     3f65143957146edc136d123a62507f50497de812d31cf82785b88dc67c7f4792
     44d93b12f57a0d476e774d58da761e56ddd20f6d299acc2390a9111082e448de
     453a8fcf41577a1a1aac7cecb7e81a306cba31f43dc6bb95ebf0647ddc2f271e
     45535d7e9f7e80cc1a89c3308bb8a0c1cc53be1351fde54b74aed9eca356fdc1
     456521deca6f44eb347ea4d0e0f390158e3606d47409b718a2602055b20b5685
     4702bfa3cce588e00e72da6918a41ca19da01547f668f0d07950765028a333ad
     472c2ac90c92513e937b9396ae2d84359993dc64ba3e3f130191b0a9976f0262
     4a245c3424b436cc23d07727f5181cf185c57b77fe1a1a95286fc12c91c36403
     4de321a8533808438637e1c145e5ddfef9f24da81cb5129fed75c13218abecbf
     4fc6383895aeebb4693f738d83e6b649cfff50ab94eeb6c1d9212d5ec25121bd
     519ac8bbe23cc0506580ac08c5bc589d9d5382e00ea81898846715cef7502d8d
     55a103c16b3c4d8958091e55cfb62091fd2d209e07ffba0a5c88252946b8ae39
     5fdd5bee76ddec565ae22c077323d6dcde599e8a88c6d3708668a2a7095b9e92
     608a39d31a2ab34bf79ebd042bf10028b9bc7ed087dbb810306956dd1ba45567
     620ec5ba9b3488d2f0df3f27c7efbd786e501f76dc0cd1e11e70e9783968374e
     640aea29e90caac6bd6f05d019c7a032e67da6a1361f122e37707493f25df248
     6501e724d89e5dd104908e13584625fd157ca3fffa620baaaa2c76997fe7347c
     6ea128ea049d2ebacb539514c677bb05791d9844046f47e6e1e3dc783f2942fb
     7203fa5731e4f60d782eb7248af9620384981a39282d70094f40946b1b7a60c8
     7205124c976d15cd097c35d5c82d63d616b710da7b82ead06faecf91fd620405
     76135328ce70dd5755fa54408d962b10954d6bb5c47f883a7c2bdd1defbebb9c
     7a8e9178ef3a9182e4a897cced65d9171c197148b5d91465507d7fddb7d531d5
     84208f7aeaf31442b3b84394ec70e6c7d6d03b854990a567dffe1702c392bf9b
     8771e257fc13efea0c60ee072b8fd918f12f287632341fe5f20756d5675112d9
     87d3dee382ec0e4a5a3c0c6979d2e460be44819c475c2cebe34bc5a83bb26b98
     8969bcaa62533ea3d1c200c02009112d2d21e5b51ec3500698935d4689d46265
     8978d3689c855a8d7c583f401fcaab41443f309221e73abf1464eb85e5842c88
     8b3264f334bba8ce48aeabb03254bbf93c21aaa429f769d9801c45baa4a6e9ec
     8bc2062e48355c32c529c163fb0234460a03f8bd0bb5c4584ec20bde8eab2a86
     940d71bbffc70383e090bb4638b2ab987f5568ce678640379295de7481cc6d6f
     94bac7f9a4828b792746e43021db14a924bf41d8491c4b6c83c2b069f9e49231
     95082a68e26e6043127d6a4f078fdb1f28b445068ce56ec18b93b006758ad75e
     9560e6e3b0d652ebeb93460213b2441adeda06783b641d59101d2cfe2c227307
     95d8b345f72bf52ee554c32232d32359be4cb131298f45e717641f6dd3e2bcad
     9f1d4255de4fceb48066d1a65520635159b9968ef5b9256bcb67e809f68de2fc
     a1808398c37712705f11218018390d7aa7ceae6c9c8209ba305d140fbd4e900a
     a82dd2141315d36a0f9ba74bb443a40e0495cd089323254c35d0c4686249de7a
     a9e912c0733016338d181ec06475e1f30f28fc2159ee482787e913fc65085cf5
     ad614712ee0ad71a7408a527a3a2051489b0ff4f08038b7a676ad967ea160fb7
     ade92c771f3d31b85f839181d2c222569b9271fef181b82414798016840e0b37
     aeddd5e972ce507a73dbb1dcfeccddb61d715cb24a0975478f36a5dfca3490a2
     af5e7fb37b6e00d487dfe968b928d24db3a786c75b530be1f46c3b228fa940eb
     afdba7dab1fa48bb8cd9886049e47fb27adc1073677dc9523d6d2a578faf0eb7
     b245eea1d0569a4ba8e24c96f41af5fa75efa79b0308c9fc56adb52d053ea467
     b3b5e742a9efcce621c8d70898b0ac59c13ad4c0e62b1cfc1b6642c403cfa5e5
     bde282cb96f5986ecffac2e217f661fa0f00c92f1e4b2a788aad9cbd53a2eb51
     c1a3f50286fef5e2c6c7d25d2007427a7468253cece9abcfd9e7acdd38401cdd
     c1d1210982635dadb2f24475c235301c47a2929b5b3caa913ebdad6df34a0c71
     c3a3c7b2d8e22e112d5c77a9ea1bbfa28865d2aaff97b3199aaf899b8c706e85
     c47b08d9ca93621b701819eb3c8576d145a0eae0dc10ddbc6d6ec7183b257e7b
     c969a0b83fe39c15dd74759e9c07b8d753908346f3d8dcb940fccee01f146e92
     cdc6366eb8899da37880fe16a52558bac01623624314e89adb8fcf039512905d
     cdf84f1d0e4e87f30d1129360af2269ef500d32d12f3d57694090fe15ba0ce01
     d40a13f38676eec40c7fc38f03d55507495374f948219045d50e6ae6af725275
     de2a8a97a5a386703dda2d75944e49644b9783533f1409c280ca8f3e4894e345
     e6294d7fbee243e8b73deee0a892f92f51e5c1ea412f64e55a109c42c9922018
     e7d91a79221691d21b81cdb85251c4bdb7e1193e43c89c94c10a3837f6ebac65
     ee05671d7f2cdb36ca511567ee135c6c7a0452be6d23aef5b91d9b4adec0253e
     f0bbaafc7f8e8677ac74fe5c76625f29793a0ca04c8177ce41d4b4aabbd2cde2
     f2e0593ca696ec36f6b813e857b8fe6741252d7b65df42e5e16bb3c80bc7a90d
     f71d024b4271aa2cce102ca4d7736cfd3a80503b28146ea2afd7ca8233164f88
     f8b6027e9d4e24699d0d2de7d514c4fbc237b8f4ea6aa8aab0cb693fb0c26834
     fa34ecd729ebdf64de47192d76713cce9390f4f77b2b0640ea2ed67fa54f4d5f
     fb03ffd1375a8f6c374ae010a9531c83c9383799710c0fbe06499d46a9eccf26

Download Emotet URL:

     hxxps://kipliani.com/sys-cache/w84tjs1/
     hxxp://phamthuan.com/wp-admin/h/
     hxxp://rmacadetstore.com/cwu/l6y/
     hxxp://fivestarcleanerstx.com/h/procurement/9uvmim/
     hxxps://www.thelibrarysamui.com/wp-content/themes/stockholm/t9/
     hxxp://aryaenterprisesrbl.com/wp-admin/uJ727532/
     hxxp://www.oakeno.com/wp-admin/tvyPO/
     hxxps://chatflair.com/generall/PF0d/
     hxxp://emarclofitnessacademy.com/xlnwk/fdJI32622/
     hxxp://duoclieu247.com/wp-content/34/
     hxxps://techyhint.com/wp-admin/s/
     hxxps://oraripersonale.metodoinforma.it/public/x3t/
     hxxp://metanor.gr/docs/q75cvd/
     hxxp://bnemati.ir/8iujk/b0/
     hxxp://dainiksomoy24.com/be53np0/IlLy/
     hxxp://shubhinfoways.com/p/0IJ259233/
     hxxp://zeing-kor.com/8lget8b/cQ44/
     hxxps://enco-software.net/wp-content/Stf9930708/
     hxxps://www.catalystitsolution.com/1hbgb/IDU4954/
     hxxp://namedforyou.ianselby.com/ivai/ZtC/

Emotet binaries (SHA256):

     e20d36d2552ad0e738de9276bb5e611c6732c4f4827994a462312d929424d45e
     348ac7bd4f21e96087741dd173297e8d115107884262d3899f77a31054b030a5
     4cb67752ab7867388334d79d275b527b5571328583a7ed87a29f55deeca91b79
     ad9bd040690166342875f16269f0f367b5da8c3163c433f38bc73d6f9fa130b8
     78b88b68536da34c0956de37bc31818649ca74750fe59a8aad4a73534707a833
     0757d2635f29311e9af525182f9d8dfd3f84187d06baa83fd9e5aa440470d6d4
     7912bfd0157ef844c80f392d384e9f03947f6a2fd966ace5032c8a5b0c5e816f
     f87cf0db5d130b2363780a3b03c5d94c9e42dec6a4bb90bd63d3c5103b99ce33
     7a4c097951ce8f4888d8becb35d1616d4c4bd701ccf4707c011a47fc358c8c75
     f3dc0dbfaed5816f941e48ce4736ea8b823d9880dce875789b18123da5fb17e5
     bf3a1db37f8924171fbe8b77f0893c608bf565f7fe7752ff16a43ba6bc94e719
     14abf32e7441b3450c073ff9b16b961c20dfb6a34714c9a35900fd88e3243d40
     770b19257beccac8c33cebf6afcd76f4255427ca128ca2598c4e64f973b3b95b
     5114a4b3400674b3bb4b19242febd3be4203bfafe360da997071fbbe3a74a6e3
     8a1a1c103a01e2f21bfb74b5894bc3c02441e1af14bc00a1e6ca04528e844379
     a0bbf1de9c10ac461841ac9789757ec6b9c271ea0c02b3ba676993e9e7b73ee0
     1fc4c8c3512bb75395bc823701d78322e82777cc552748048f7b7fb32163d051
     963d3e487e2d5514d26e53ff52fe4fd8516f1fcb94e8729e7643a34fa66d516b
     aa17a6d59aa8bcf5d94ca57973d7914151b4d7ad0f4fd88e23c4ac3b5b7a9942  
     1077187eabeedb3b7bfad821db0068ef656f4055b1ff3571484b2cd285b0e4b8
     a94a3a226269fb9688d72a428617068c7b9f31d9ec1f94f42789c05316e33812
     b46c7c51ec24e722fddf84c9763abdeb11069888f7a0499d01f3a55e3b66945d
     deb88bf1e8b47cf82396d23c317152d04eae61e75b1bf8af0b3110821e1830f7
     b18144fc0ac46753e81fdba6ceedf284e2be779d6460c75c03e8cad103872277
     5e328b5b3dbd414e2e4c330121bd0fa59533881b872d6e9e84585aefe28d8fb9
     575fbc8ed2392b1c226028adf9938d5b05fece011c8da3f5dd371edb5caa6a40
     4b4a2f161daa62403106735a349891e7074647692a01e741d6a7a90748a97dfe
     df79ce14bdff8c58ebc1718987ea1603d1128459d961137bea26477bdf0bdac8
     bedba85d915b153ecf6876360a8d77402b9b47f15de911ac2d8fc6de5106eaf2
     15656963cb902249f4f4fa034ff3104e81fcf0b49f2b3333614835da3d4419bc
     b22b2ac51fe37583b210c7067a2f1fe53896f1a08996804750207eebc678d3a6
     810a26490beb92a12e3bafc52e41473c3d447048480e229823a2bc0a27f301c1
     51cc58f8762d1aae0eec16841490c31f56cb0e517b2e3ed7572bd87776cdc24e
     e7c4eab648a6f43f68b8ae73a433ac84fd9e7f27a153ffa8b5386edec9c3d387
     bddea70b44cfc408df39ad9952f35097fd6080af76c4b24c4559221d971e8c4d
     06b5a3aa0d6bb85787eea682023dc817736f938f13a5f1cd9ef429c9f075b545
     0548a5e8aa4079ffd0ff3f27c705a873afcf279bef19c11db7e0d40b6b6fb716
     e3fd4f2ef04fa6ff844462c74e99e469c029fb47ee9b19792b07a9a669b2290e
     bf39e192cde3ac20442687d5c8e90c85cd4450020f7b6256a1ae16609bfcb487
     a8ed5f0ec9143feda7f1ee6550daf5e70f977217a4d6c0c1e606e9be5025caa7
     67da60a0893c205ee0b775138fb26e36cc72e9a06e3a2d12289a2ccd4ddc7da0

C&C

     2.47.112.152:80
     5.196.35.138:7080
     5.196.74.210:8080
     5.39.91.110:7080
     12.162.84.2:8080
     24.1.189.87:8080
     31.31.77.83:443
     37.139.21.175:8080
     37.187.72.193:8080
     45.161.242.102:80
     46.105.131.79:8080
     46.105.131.87:80
     46.214.11.172:80
     46.28.111.142:7080
     50.116.86.205:8080
     50.28.51.143:8080
     51.255.165.160:8080 
     61.19.246.238:443
     61.92.159.208:8080
     62.138.26.28:8080
     62.75.141.82:80
     68.183.170.114:8080
     68.183.190.199:8080
     70.32.115.157:8080
     70.32.84.74:8080
     72.47.248.48:7080
     73.11.153.178:8080
     74.208.45.104:8080
     75.139.38.211:80
     77.55.211.77:8080
     77.90.136.129:8080
     78.189.165.52:8080
     78.24.219.147:8080
     79.7.158.208:80
     79.98.24.39:8080
     80.249.176.206:80
     81.2.235.111:8080
     82.196.15.205:8080
     83.169.21.32:7080
     87.106.136.232:8080
     87.106.139.101:8080 
     87.106.46.107:8080
     89.32.150.160:8080
     91.205.215.66:443
     91.211.88.52:7080
     91.231.166.124:8080
     91.236.4.234:443
     93.156.165.186:80
     93.51.50.171:8080
     94.176.234.118:443
     95.179.229.244:8080
     95.213.236.64:8080 
     101.187.97.173:80
     103.86.49.11:8080
     104.131.103.37:8080
     104.131.11.150:443
     104.131.41.185:8080
     104.131.44.150:8080
     104.236.161.64:8080
     104.236.246.93:8080
     108.48.41.69:80
     109.117.53.230:443
     109.74.5.95:8080
     110.145.77.103:80
     111.67.12.221:8080
     114.109.179.60:80
     116.203.32.252:8080
     121.124.124.40:7080
     124.45.106.173:443
     137.59.187.107:8080
     137.74.106.111:7080
     139.130.242.43:80
     139.59.60.244:8080
     143.0.87.101:80
     144.139.91.187:443
     149.62.173.247:8080
     153.126.210.205:7080
     157.245.99.39:8080
     157.7.199.53:8080
     162.241.92.219:8080
     168.235.67.138:7080
     169.239.182.217:8080
     170.81.48.2:80
     172.104.169.32:8080
     173.91.22.41:80
     176.111.60.55:8080
     177.139.131.143:443
     177.144.135.2:80
     177.66.190.130:80
     177.75.143.112:443
     178.79.163.131:8080
     181.120.79.227:80
     181.129.96.162:8080
     181.167.96.215:80
     181.30.69.50:80
     181.31.211.181:80
     185.94.252.104:443
     185.94.252.12:80
     185.94.252.13:443
     185.94.252.27:443
     186.208.123.210:443
     186.250.52.226:8080
     187.162.248.237:80
     187.51.47.26:80
     189.218.165.63:80
     190.108.228.62:443
     190.144.18.198:80
     190.147.137.153:443
     190.160.53.126:80
     190.163.1.31:8080
     190.17.195.202:80
     190.181.235.46:80
     190.194.242.254:443
     190.229.148.144:80
     190.55.181.54:443
     190.6.193.152:8080
     190.96.118.251:443
     192.241.143.52:8080
     192.241.146.84:8080
     200.55.243.138:8080
     201.173.217.124:443
     202.62.39.111:80
     203.153.216.189:7080
     203.25.159.3:8080
     204.225.249.100:7080
     209.141.54.221:8080
     210.165.156.91:80
     212.51.142.238:8080
     212.71.237.140:8080
     217.13.106.14:8080
     217.199.160.224:7080
     219.92.13.25:80