IOC_digest_03_2019

(Зразки за березень 2019го)

Продовжуючи формат переднього дайджесту, ось вам перелік зразків, результати аналізу яких я можу оприлюднити:

07/03/19

розсилали #trickbot, .doc > macro_AutoClose > 4 bat > BITS > GET > AppData\Roaming\wnetwork\*.exe , звіт

15/03/19

 

розсилали #coinminer, SCR > C:\Intel\* , звіт

19/03/19

розсилали #shade, (RAR) > pass > JS > WSH > GET .mpwq > %temp%\*.tmp , звіт

21/03/19

розсилали #cobaltstrike, EXE (SFX) > .bat > Startup\explorer.exe , звіт

25/03/19

розсилали #shade, (RAR) > pass > JS > WSH > GET .mpwq > %temp%\*.tmp , звіт (за 19те)

28/03/19 – важливо, рівень складності та загрози високий, без EXE файлів (!)

   

розсилали #sobaken, .ZIP > .PPSX > XML_RELS > GET > WSH > %temp%\tmp4E07.tmp > %userprofile%\NTUSR.DAT , звіт

– – – – – – – – – – – – – – – – – – – – – – –

Аналітика

Методи доставки

Якщо розбити по категоріям, тоді отримаємо

  • exe/scr (без приманки) – 2 розсилки
  • BITS – 1 розсилка
  • WSH – 3 розсилки, включаючи цільову атаку (28/03)
  • Вразливість 11882 – 0 розсилок
  • powershell – 0 розсилок

Для обходу фільтрів були застосовані наступні кроки:

  • архіви з паролями;
  • Документи з макросами (1) та документи з посиланням xml.rels (1)

Тенденції

Кампанія розсилки #shade яка розпочалася ще в кінці 2018 року JS (WSH) вперто продовжується, хоча помітно зменшила оберти.

Все ще може становити загрозу для непідготованих користувачів.

Цікавими з технічної точки зору за березень виявилися два випадки:

#1 цільова атака із застосуванням аналітики по виборам в якості приманки (xml.rels > WSH).

  • Якісний привід (презентація по виборам).
  • Використання WSH для закріплення та збору інформації про заражену систему.
  • Без створення та запуску нових exe.
  • Сильна обфускація команд.

#2 доставка #trickbot через макрос на закриття документу та завантаження через службу BITS.

У цьому випадку одразу стикаємось із двома способами, що застосовуються помітно рідше.

Загалом, усе, що присилали в березні могло створити інциденти тим організаціям які:

  • не контролюють макроси
  • не контролюють WSH
  • не посилили фільтрацію приєднань

Узагальнені контрзаходи

Будьте уважні та обережні.

VR

Advertisements

Tags: , , , , , , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: