IOC_agenttesla_111018

11/10/18 зафіксовано другий випадок доставки “нового гравця” – #AgentTesla
Перша спроба доставки була 04/10 – IOC: https://pastebin.com/JYShuXn4

Даний тип ШПЗ відстежує клавіатуру (keylogger) та надає віддалене керування (RAT).
Також застосовується для стеження через знімки екрану.

Особливі прикмети даного типу – передача даних через поштові системи (SMT 25, 587)
Дані по сьогоднішній розсилці відправлялися на скриньку account{@} egest-eg{.} com

В якості засобу доставки двічі використовували RTF файли із вразливістю редактору формул (11882).
Конфіг зразка було отримано через реверс стараннями @James_inthe_box

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
111.118.215.27 lockoutindia{.} com GET /zwe/tt.exe HTTP/1.1 Mozilla/4.0
216.146.43.71 checkip.dyndns{.} org GET / HTTP/1.1
DNS > MX Standard query response 0x2ffe A smtp.egest-eg{.} com CNAME us2.smtp.mailhostbox{.} com
A 208.91.199.225 A 208.91.199.223 A 208.91.198.143 A 208.91.199.224
# # #

IOC:
https://pastebin.com/cZxQGbyq

Контрзаходи:

• Перевірте вихідні з’єднання на зовнішні поштові сервери (zoho, etc)
• Оновлюйте MS Office
• По можливості не використовуйте формат RTF
• Блокуйте трафік для EQNEDT32.EXE
• Забороняйте/контролюйте створення .exe у C:\Users\
• Блокуйте на Proxy нетипові User Agent.

Будьте уважні та обережні

VR

Tags: , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: