IOC_hancitor_250517

Підступний “Google Docs”. Уважно читайте адресу посилання, а не текст на ньому!

Вчора (25го травня) в другій половині дня була зафіксована розсилка Hancitor (Chanitor).
Цей клас шкідливого коду є сервісом доставки троянів або модулів для крадіжки паролів (Pony та ін.)
Вперше його розсилки було зафіксовано в січні 2017.
Ступінь загрози – середній. Вразливосте не використовує. Активація відбувається через запуск макросів.

Зверніть увагу на такі деталі:
– Документ генерується із іменем домену жертви (як і поле теми фішингового листа).
– Після успішного інфікування доставка основних модулів здійснюється із затримкою (30-40 хв).

Схема роботи:
– – – – – – – – – – – – –

email > URL > DOC > macro > URL > EXE > downloader

Маркери (IOC):
– – – – – – – – – – – – –

#1 email

Received: from homewatchohio.com [74.142.241.82]

Заголовки листів містять:
From: “Google Docs” <accountant@%company%.com>
Subject: %домен жертви% has sent you a document through Google Docs!

#2 URL

h11p://freeholdsurg.com/viewdoc/file.php?document={base64string} [46.173.218.143]

Ініші сервери з яких розповсюджується документ з макросами:
h11p://hazletfamilycare.com/viewdoc/file.php?document=
h11p://freeholdretractor.com/viewdoc/file.php?document=
h11p://freeholdsurgical.info/viewdoc/file.php?document=
h11p://homesmartfinancial.com/viewdoc/file.php?document=
h11p://freeholdsurg.com/viewdoc/file.php?document=
h11p://execps.com/viewdoc/file.php?document=
h11p://bioremediation-products.com/viewdoc/file.php?document=
h11p://strategic-ls.net/viewdoc/file.php?document=
h11p://cindysgraphicdesigns.com/viewdoc/file.php?document=

#3 DOC із макросом

Документи мають назву по шаблону:

Billing_%домен жертви%.doc

File Name Billing_noname.com.doc
MD5 Hash Identifier 89CEA54551FBF7C71058A7DE6322934D
SHA-1 Hash Identifier 2BF315F4FCB4A36924E64E4AD2F5A6BA8D07C06D
SHA-256 Hash Identifier 0CF705E4804F3585E44368E8D611DDB9376863FF8C4400D156D043F6B181924E
File Size 206336 bytes
File Type Composite Document File V2 Document, Microsoft Office Word

Макрос при активації відкриває з’єднання із такими серверами:

212.129.51.160
h11p://API.IPIFY.ORG – перевірка зовнішнього IP
h11p://FORDEBUBUT.COM [212.129.51.160] – завантаження EXE
h11p://GREGORYRULLO.COM – зламані сайти із скриптами
h11p://REWNINGIDEN.COM [185.118.66.252] – 2C
h11p://WWW.HOMESDECORATINGIDEAS.COM – зламані сайти із скриптами

#4 EXE

File Name BND2B1.tmp
MD5 Hash Identifier AF7078278C943D35BD910989865857E5
SHA-1 Hash Identifier BD60C974AB62E65D98DD322A461F0DCBBB0A30AB
SHA-256 Hash Identifier ACEBA8DB5676FD88C2EE3C63D99A6EF1A1B54D740AC25C2E6F4195EF08DB0CC6
File Size 193536 bytes

Після запуску відкриває з’єднання із :

REWNINGIDEN.COM [185.118.66.252]

#5 Мережевий трафік із скомпрометованої системи

h11p://fordebubut.com 212.129.51.160
h11p://gregoryrullo.com 50.62.110.1
h11p://homesdecoratingideas.com 192.196.156.150
h11p://rewningiden.com 185.118.66.252
h11p://kedrolhechedt.com 92.242.40.92
h11p://dijussoda.com 185.66.9.164
h11p://api.ipify.org 54.225.154.40, 54.243.147.114, 107.21.113.24, 23.23.102.58, 23.23.120.37, 50.19.238.1

# # #

Рекомендації:
– – – – – – – – – – – – –

1) Перевірка спроб з’єднань із такими ресурсами та внесення їх у чорний список:

  • h11p://FREEHOLDSURG.COM [46.173.218.143]
  • h11p://FORDEBUBUT.COM [212.129.51.160]
  • h11p://REWNINGIDEN.COM [185.118.66.252]

2) Відключення макросів у пакеті MS Office через GPO

3) Фільтрація каналів доставки (web та email) на предмет макросів, скриптів та ін.

4) Заборона створення та запуску нових .tmp та .exe файлів у каталозі %AppData%

5) Співбесіди на тему фішингу, соц інженерії

6) Застосування “пісочниці”

7) Перевірити налаштування GTI на кінцевих точках, т.к. основне тіло детектується антивірусом (див. KB53733)

Будьте уважні та обережні.

VR

Advertisements

Tags: , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: