Search results for trickbot

IOC_Trickbot_051018

05/10/18 проходила чергова розсилка #Trickbot

Як ми і прогнозували, аналізуючи розсилку 2го числа, настала черга наших організацій.
Цього разу у списках розсилки є вітчизняні компанії.

Проте є істотні відмінності від попереднього зразка:

  • Схема стара (без посилання), документ із макросом у приєднанні
  • Відсутня перевірка зовнішньої IP адреси
  • Після активації основного тіла іде довантаження двох копій у вигляді png із різними контрольними сумами

Як і минулого разу – крім збережених паролів, на інфікованій системі знімається інформація про список процесів та мережеві параметри і оточення.

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
107.180.51.22 pixandflix.com GET /ch.rome HTTP/1.1 no User Agent !This program cannot be run in DOS mode.
185.17.123.2 185.17.123.2 GET /radiance.png HTTP/1.1 no User Agent !This program cannot be run in DOS mode.
185.17.123.2 185.17.123.2 GET /table.png HTTP/1.1 WinHTTP loader/1.0 !This program cannot be run in DOS mode.
185.17.123.2 185.17.123.2 GET /table.png HTTP/1.1 WinHTTP loader/1.0 !This program cannot be run in DOS mode.
37.128.229.30 37.128.229.30 POST /ser1005/APM11_W617601.idxxxxxx/81/ HTTP/1.1 Mozilla/4.0
37.128.229.30 37.128.229.30 POST /ser1005/APM11_W617601.idxxxxxx/81/ HTTP/1.1 Mozilla/4.0
37.128.229.30 37.128.229.30 POST /ser1005/APM11_W617601.idxxxxxx/90 HTTP/1.1 test
37.128.229.30 37.128.229.30 POST /ser1005/APM11_W617601.idxxxxxx/81/ TTP/1.1 Mozilla/4.0
# # #

Більше маркерів (чорновик звіту) за посиланням:
https://pastebin.com/75KNqwCf

Контрзаходи:

• Блокуйте запуск макросів,
• Забороняйте завантаження запускних файлів в явному вигляді,
• Контролюйте powershell,
• Блокуйте на Proxy нетипові User Agent.

Будьте уважні та обережні.

VR

IOC_Trickbot_021018

02/10/18 проходила розсилка троянського шкідливого коду типу #Trickbot

Ця розсилка не була направлена на українські організації.
Але ми вирішили розглянути її аби попередити вас.
Адже через кілька днів цю саму схему ймовірно застосують проти нашого сегменту.

Отже зміни у схемі доставки – замість приманки у приєднанні листа, жертву скеровують
На сторінку, з якої завантажується документ із начинкою.
Схема: email > html > URL1 > doc > macro > powershell > URL2 > %tmp%\now.exe
Ступінь загрози – високий (для компаній, що не блокують макроси).

(!) Зверніть увагу, що крім збережених паролів, на інфікованій системі знімається інформація про список процесів та мережеві параметри і оточення.

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
138.128.75.133 wormaldfj{.} com GET /cantbe.played HTTP/1.1 no User Agent
198.27.74.146 wtfismyip{.} com GET /text HTTP/1.1 Mozilla/5.0
66.181.167.72 66.181.167.72 POST /ser1002us/APM11_W617601.IDxxx/81/ HTTP/1.1 Mozilla/4.0
66.181.167.72 66.181.167.72 POST /ser1002us/APM11_W617601.IDxxx/81/ HTTP/1.1 Mozilla/4.0
66.181.167.72 66.181.167.72:8082 POST /ser1002us/APM11_W617601.IDxxx/90 HTTP/1.1 test
# # #

Більше маркерів (чорновик звіту) за посиланням:
https://pastebin.com/fm5Ug69G

Контрзаходи:

• Блокуйте запуск макросів,
• Забороняйте завантаження запускних файлів в явному вигляді,
• Контролюйте powershell
• Блокуйте на Proxy нетипові User Agent.

Будьте уважні та обережні.

VR