Archive | 22/10/2018

IOC_Fareit_181018

18/10/18 проходила розсилка #Fareit (#Pony)

Схема:
email attach (ace) > exe > %temp%\subfolder\filename.exe

Мережеві маркери:
– – – – – – – – – – – – – – – – – –

194.36.173.171  armansaykham.com    POST /nonso/gate.php HTTP/1.0                           Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)

67.227.226.240  pornhouse.mobi      GET /main.php?dir=//Virgin%20Babes%20First%20Sex&start=1&sort=1 HTTP/1.0    Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)
# # #

Більше маркерів (чорновик звіту) за посиланням:
https://pastebin.com/u0D14L5r

Контрзаходи:

• Блокуйте нетипові/застарілі формати архівів
• Забороняйте/контролюйте створення .exe у C:\Users\
• Блокуйте на Proxy нетипові User Agent.

Будьте уважні та обережні.

VR

Advertisements

IOC_agenttesla_161018

16/10/18 зафіксовано третій випадок доставки #AgentTesla
Перша спроба доставки була 04/10 – IOC: https://pastebin.com/JYShuXn4
Друга спроба доставки була 11/10 – IOC: https://pastebin.com/bkCSvJvM

Даний тип ШПЗ відстежує клавіатуру (keylogger) та надає віддалене керування (RAT).
Також застосовується для стеження через знімки екрану.

Особливі прикмети даного типу – передача даних через поштові системи (SMT 25, 587)
Дані по даній розсилці відправлялися на скриньку cwl.cus@cargoworldlogistics.in (pass: Cuscargo123+)

Цього разу в якості приманки було 3 файли (PDF, RTF  та DOCX) активація яких призводила до завантаження payload через проміжний RTF файл із вразливістю редактору формул (11882).
Конфіг зразка було отримано через реверс стараннями @Techhelpistcom

(!) Важливо – зразок був битий, нормально не відпрацьовував. Тому звіт не повний.

Мережеві маркери:
– – – – – – – – – – – – – – – – – –

rtf_downloader     share.dmca.gripe/ItvsncjBnvcpjHkX.doc

payload                  3arabsports.net/admin/mine001.exe
# # #

IOC:
https://pastebin.com/d5DxTRrB

 

Контрзаходи:

• Перевірте вихідні з’єднання на зовнішні поштові сервери (zoho, etc)
• Оновлюйте MS Office
• По можливості не використовуйте формат RTF
• Блокуйте трафік для EQNEDT32.EXE
• Забороняйте/контролюйте створення .exe у C:\Users\
• Блокуйте на Proxy нетипові User Agent.

Будьте уважні та обережні

VR