IOC_agenttesla_161018

16/10/18 зафіксовано третій випадок доставки #AgentTesla
Перша спроба доставки була 04/10 – IOC: https://pastebin.com/JYShuXn4
Друга спроба доставки була 11/10 – IOC: https://pastebin.com/bkCSvJvM

Даний тип ШПЗ відстежує клавіатуру (keylogger) та надає віддалене керування (RAT).
Також застосовується для стеження через знімки екрану.

Особливі прикмети даного типу – передача даних через поштові системи (SMT 25, 587)
Дані по даній розсилці відправлялися на скриньку cwl.cus@cargoworldlogistics.in (pass: Cuscargo123+)

Цього разу в якості приманки було 3 файли (PDF, RTF  та DOCX) активація яких призводила до завантаження payload через проміжний RTF файл із вразливістю редактору формул (11882).
Конфіг зразка було отримано через реверс стараннями @Techhelpistcom

(!) Важливо – зразок був битий, нормально не відпрацьовував. Тому звіт не повний.

Мережеві маркери:
– – – – – – – – – – – – – – – – – –

rtf_downloader     share.dmca.gripe/ItvsncjBnvcpjHkX.doc

payload                  3arabsports.net/admin/mine001.exe
# # #

IOC:
https://pastebin.com/d5DxTRrB

 

Контрзаходи:

• Перевірте вихідні з’єднання на зовнішні поштові сервери (zoho, etc)
• Оновлюйте MS Office
• По можливості не використовуйте формат RTF
• Блокуйте трафік для EQNEDT32.EXE
• Забороняйте/контролюйте створення .exe у C:\Users\
• Блокуйте на Proxy нетипові User Agent.

Будьте уважні та обережні

VR

Tags: , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: