Jaff – черговий зразок ransomware

від авторів Dridex, Locky, та Bart

 

Візьміть до уваги!

Вчора (22/05/17) відбулася чергова хвиля розсилки нового зразка ransomware – Jaff.
Вперше потрапив мені до рук 16/05/17. Маркери за 16те – в кінці допису.

Схема:
– – – – – – – – – – – – –

email > PDF > DOCM > MACRO > URL > EXE

Маркери (IOC):
– – – – – – – – – – – – –

#1 email
Received: from localhost (unknown [113.174.48.107])
From: KAITLIN KITCHEN <NoReply@pixelstudio.us>
– орендувався на період розсилки, зараз недоступний

приклад іншого листа:

#2 dropper PDF із вбудованим DOCM

File Name 51531390.PDF
MD5 Hash Identifier F2EC18D7F65D3186E2659CA978B10092
SHA-1 Hash Identifier 25B42C3BA79F062BD38CA88D6B7DCE9D685B77FD
SHA-256 Hash Identifier E1AAB160D59B83A9B62DC2609C2D55B7F07387F4B84041C18EFE068E05F9B9DD
File Size 71889 bytes
File Type application/pdf

дропає

File Name WBLYJOFBR.docm
MD5 Hash Identifier 27CC30FEDE5CF8F390DAE94994BC6CB3
SHA-1 Hash Identifier C471B5A28F6A1EB4EFB31325465A0DA835F008C8
SHA-256 Hash Identifier E8B41678E081C8CC3ADA1F17979B27EFDDAA398E5D397A324AC0EEDF9D36ED94
File Size 126784 bytes
File Type application/vnd.openxmlformats-officedocument.wordprocessingml.document

активація макросів призводить до з’єднання із

EVERSTRUCT.COM.AU [27.123.25.1]
EVERSTRUCT.COM.AU/JHG6FGH

#

друга версія

#
File Name 52040596.PDF
MD5 Hash Identifier FA17464BF1059702190F56E4B898E144
SHA-1 Hash Identifier 821E0DCC7C3F3BF123480ED20941C04120B65410
SHA-256 Hash Identifier 2ECE54ED150732B33EDCAF758F55D73ECC945C926E9E7A331A650409C932056A
File Size 72014 bytes
File Type application/pdf

дропає

File Name GZYKRWCRX.docm
MD5 Hash Identifier 3FEC158A028DA38BA1952A591EC78C52
SHA-1 Hash Identifier 4993CF0B5B30D5C8D2457DFB1EA90CD210370BF0
SHA-256 Hash Identifier 9011B9BC346F5B3615EF8E2B92381B0130738F0093FC4489DBF20C11794CD834
File Size 126720 bytes
File Type application/vnd.openxmlformats-officedocument.wordprocessingml.document

активація макросів призводить до з’єднання із

THEGARDINERS.CA [69.90.160.230]
THEGARDINERS.CA/JHG6FGH

#3 payload – один і той же для обох PDF`ок

File Name buzinat8.exe
MD5 Hash Identifier 132D56F533F3A074B441CEBFF98E7742
SHA-1 Hash Identifier CE62251F9C7B0DE95CE324EFEC94FB703776F4BA
SHA-256 Hash Identifier 3105BF7916AB2E8BDF32F9A4F798C358B4D18DA11BCC16F8F063C4B9C200F8B4
File Size 184320 bytes

Після шифрування ініціює з’єднання із

trollitrancessions.net [217.29.63.199] (!) Russian Federation

#

Рекомендації:
– – – – – – – – – – – – –

1) Фільтрація каналів доставки (web та email) на предмет макросів, скриптів та ін.
2) Заборона створення та запуску нових .exe файлів
3) Застосування пісочниці
4) Співбесіди на тему фішингу, соц інженерії
5) Відключити макроси в MS Office; відключити скрипти і активацію зовн. контенту у PDF

Будьте уважні та обережні.

PS


Маркери (IOC) за 15/05/17:
– – – – – – – – – – – – –

Жертві приходить не персоніфікований фішинг із PDF файлом у приєднанні

File Name 001_3116.pdf
MD5 Hash Identifier 1E5488E7E382F4EF0DB3ED0DF8D5DBDF
SHA-1 Hash Identifier F6D625BA4A79C2944CDEBCEB52A834C97C6F958E
SHA-256 Hash Identifier 0DBFF8F2C4E689328F5F4E6D0416A21CD09FA903ADD3E1DC1751CAA982CB44B1
File Size 53645 bytes
File Type application/pdf

pdf  в собі містить DOCM із макросом, який при активації записується у %temp%\*\

File Name QCS3ZYS.docm
MD5 Hash Identifier 6D6761D6F3E3E812D9E814942D3DDB78
SHA-1 Hash Identifier DB8CB21367A3B332452469DD1E8508288EA80BA0
SHA-256 Hash Identifier 3565F05B3541E5839C9744388C24C34D42B592A74F2F9F2129DBB8FCBE82165F
File Size 55497 bytes
File Type application/vnd.openxmlformats-officedocument.wordprocessingml.document

Макрос у DOCM ініціює з’єднання на h11p://dcfarbicka.sk/hhgfjd [5.10.105.54] і завантажує основне payload

File Name drefudre20.exe
MD5 Hash Identifier F5EBB00E1FB9BBCFE5AE742082E2002F
SHA-1 Hash Identifier 83EDEE74728AA231CB77D62A442FA560C64ECDEE
SHA-256 Hash Identifier 41BCE3E382CEE06AA65FBEE15FD38F7187FB090D5DA78D868F57C84197689287
File Size 176128 bytes

Який у свою чергу перед шифруванням з’єднується із 2С h11p:// h552terriddows.com [47.91.107.213]

На момент аналізу обидві частини як dropper так і payload уже детектувалися VSE по GTI.

Будьте уважні та обережні.

VR

Advertisements

Tags: , , , , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: