IOC_zbot_170517

Візьміть до уваги!

Сьогодні у другій половині дня була зафіксована нова чергова розсилка Zbot (стеження, збір інформації, та крадіжка даних систем ДБО)
Схема та сама що і у попередніх атаках: листи із приманкою (два JS файли у TAR архіві).
Обидва JS не зачіпали powershell і завантажували payload через функції WScript

12/04 та 17/04  це були h11p://duranadyasavchenko.ru/ та h11p://belkavkoliseinc.ru/ [47.91.77.236]

Цього разу це h11p://avakovinfoword5manager.ru та h11p://parthdubaiforpodollider.ru [47.91.94.128]

Судячи із схожого почерку – один IP, два домени. Домен на політичну тему і зареєстрований так само у США будуть повторні розсилки.
Важливо – листи які розсилались сьогодні містили помилку в коді JS, через яку payload завантажувався але не розшифровувався.
Тобто рівень загрози – низький. Але це доти, доки вони не змінять файли.
Суворо рекомендую негайно додати домени і IP у чорний список.

Маркери компрометації (IOC):

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Листи розсилалися із серверу                  92.244.96.4         (mx1.kievnet.com.ua)

Можливі листів (можуть варіюватися)

“Приобретение продукции”

 

Архів

– – – – – – – – – – – – – – – – – – – – – – – –

File name: Запрос_Продукции_договор_288_rar.tar
SHA256: 5c5165233d324eec320e285ddf50a573c48c7fa0869b264b6464d000372a6f50
Detection ratio: 5/56

 

Dropper

– – – – – – – – – – – – – – – – – – – – – – – –

File Name Order_288.js
MD5 Hash Identifier 201B27C2BC9C3AE35C79871AED33D3B2
SHA-1 Hash Identifier 6AEF09902D81E7CB5369B123059D34848113EE7E
SHA-256 Hash Identifier 87CBE095F57773DD853C8C0D9982A13DC96D3F46AD73A3BF0E0A3893B4BD8559
File Size 7325 bytes
File Type ASCII text
Detection ratio: 7 / 56

File Name Pax_1705.js
MD5 Hash Identifier 2832931C592C9BF50C7CACADD3569E9F
SHA-1 Hash Identifier 861EC3138953EE8EBE5976CBF82CD580A8B92BBF
SHA-256 Hash Identifier C034163246D36D676485E1E2201083F067A25085DF81BC3AE0D3EF2E32974D33
File Size 7751 bytes
File Type ASCII text
Detection ratio: 6 / 54
Після активації dropper система здійснює з’єднання із серверами

h11p://avakovinfoword5manager.ru/rabota/gate.php?ff1    [47.91.94.128]

І намагається завантажити Payload, через помилку в коді на момент проведення аналізу payload завантажувався в неробочому стані

 

Неробочий Payload

– – – – – – – – – – – – – – – – – – – – – – – –

File name: gate[1].htm
SHA256: f103e8890a919ac1174a7d95fd13db1f448692f889873e8c1a9580a476056422
Detection ratio: 0 / 56

 

Робочий Payload який розповсюджувався з цього сервера

– – – – – – – – – – – – – – – – – – – – – – – –

File Name ab50_payload.exe Family Name: Trojan.Win32.Zbot.BL.D Similarity Factor: 100.00
MD5 Hash Identifier BBF199BB25D66EA37D728201CDB940AF
SHA-1 Hash Identifier 1D7D145866C0BEB7F7A7DC11E08B48A21E70CF2B
SHA-256 Hash Identifier 7E30A2FA0E56CC0B1EAAC4626FBB9F8BF2F1787862926BCBD90C5BA0F7AC9334
File Size 376832 bytes
Detection ratio: 12 / 61

Після активації дублює себе із довільною назвою

Module
“c:\users\administrator\appdata\roaming\vlc\vlcxpers.exe”
“c:\windows\system32\cmd.exe” /c “c:\users\admini~1\appdata\local\temp\tmp259dc495.bat”

File Name VlcXpers.exe Family Name: Trojan.Win32.Zbot.BL.D Similarity Factor: 100.00
MD5 Hash Identifier 7FD80A650536354DAA44D06DEA5F1595
SHA-1 Hash Identifier 46A0C69CFC9B792D56F65A25E868C59A8C52CA03
SHA-256 Hash Identifier F9BB3439A634DD4E2DC43B730323869AD5740DCC4ADBA09FD88698D4CC5373C4
File Size 376832 bytes
Detection ratio: 9 / 61

Інфікована система відправляє дані та чекає на команди із сайту

h11p://parthdubaiforpodollider.ru          [47.91.94.128]

# # #

Рекомендації:

– – – – – – – – – – –

  • Перевірка звернень на сервер h11p://avakovinfoword5manager.ru/ та h11p://parthdubaiforpodollider.ru [47.91.94.128]
  • Внесення вищезазначених доменів та IP в чорний список
  • Правило, яке блокує запуск *.exe, *.js*, *.vbs із %AppData%
  • Блокування приєднань із файлами *.vbs , *.js, *.jse, *.exe
  • Впровадження “пісочниці” McAfee ATD
  • Співбесіди з персоналом на тему фішингу, соц. інженерії

Будьте уважні та обережні.

VR

Tags: , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: