Tag Archive | AgentTesla

IOC_digest_01_2019

Продовжуючи формат переднього дайджесту, ось вам перелік зразків, результати аналізу яких я можу оприлюднити:

07/01/19

розсилали #nanocore, .xlsx > 11882 > GET > AppData\Roaming\*.exe, звіт

09/01/19

розсилали #agenttesla, .xlsx > 11882 > GET > AppData\Roaming\*.exe, звіт

10/01/19

розсилали #smokeloader, (lzh) > js > WSH > Powershell > GET > AppData\Local\TempZna40.exe, звіт

розсилали #LokiBot, .doc(RTF) > 11882 > GET .jpg > %temp%\1.exe , звіт

10/01/19

розсилали #smokeloader, (lzh) > js > WSH > GET > AppData\Roaming\Microsoft\Windows\Templates\*.exe, звіт

14/01/19

розсилали #shade, .ZIP > 2nd .ZIP > JS > WSH > GET > %temp%\*.tmp , звіт

15/01/19

розсилали #shade, .ZIP > 2nd .ZIP > JS > WSH > GET *.jpg > %temp%\*.tmp , звіт

23/01/19

розсилали #emotet, .doc (XML) > macro > cmd > powershell > GET > %temp%\***.exe, звіт

28/01/19

розсилали #emotet, .doc (XML) > macro > cmd > powershell > GET > %temp%\***.exe, звіт

– – – – – – – – – – – – – – – – – – – – – – – –

Аналітика

Методи доставки

Для обходу фільтрів застосовували наступні трюки

Якщо розбити по категоріям, тоді отримаємо

Тенденції

Масова кампанія з розсилки #shade яка розпочалася ще в кінці 2018 року продовжувала застосовувати подвійні архіви із скриптами (WSH).

Поки що, документи із вразливістю редактору формул разом із макросами залишаються основним інструментом компрометації  робочих станцій.

Загалом, вищеописані зразки могли створити інциденти тим організаціям які:

  • не контролюють макроси
  • не контролюють WSH
  • не королюють запуск powershell
  • не посилили фільтрацію приєднань

Узагальнені контрзаходи

Будьте уважні та обережні.

VR

IOC_agenttesla_161018

16/10/18 зафіксовано третій випадок доставки #AgentTesla
Перша спроба доставки була 04/10 – IOC: https://pastebin.com/JYShuXn4
Друга спроба доставки була 11/10 – IOC: https://pastebin.com/bkCSvJvM

Даний тип ШПЗ відстежує клавіатуру (keylogger) та надає віддалене керування (RAT).
Також застосовується для стеження через знімки екрану.

Особливі прикмети даного типу – передача даних через поштові системи (SMT 25, 587)
Дані по даній розсилці відправлялися на скриньку cwl.cus@cargoworldlogistics.in (pass: Cuscargo123+)

Цього разу в якості приманки було 3 файли (PDF, RTF  та DOCX) активація яких призводила до завантаження payload через проміжний RTF файл із вразливістю редактору формул (11882).
Конфіг зразка було отримано через реверс стараннями @Techhelpistcom

(!) Важливо – зразок був битий, нормально не відпрацьовував. Тому звіт не повний.

Мережеві маркери:
– – – – – – – – – – – – – – – – – –

rtf_downloader     share.dmca.gripe/ItvsncjBnvcpjHkX.doc

payload                  3arabsports.net/admin/mine001.exe
# # #

IOC:
https://pastebin.com/d5DxTRrB

 

Контрзаходи:

• Перевірте вихідні з’єднання на зовнішні поштові сервери (zoho, etc)
• Оновлюйте MS Office
• По можливості не використовуйте формат RTF
• Блокуйте трафік для EQNEDT32.EXE
• Забороняйте/контролюйте створення .exe у C:\Users\
• Блокуйте на Proxy нетипові User Agent.

Будьте уважні та обережні

VR

IOC_agenttesla_111018

11/10/18 зафіксовано другий випадок доставки “нового гравця” – #AgentTesla
Перша спроба доставки була 04/10 – IOC: https://pastebin.com/JYShuXn4

Даний тип ШПЗ відстежує клавіатуру (keylogger) та надає віддалене керування (RAT).
Також застосовується для стеження через знімки екрану.

Особливі прикмети даного типу – передача даних через поштові системи (SMT 25, 587)
Дані по сьогоднішній розсилці відправлялися на скриньку account{@} egest-eg{.} com

В якості засобу доставки двічі використовували RTF файли із вразливістю редактору формул (11882).
Конфіг зразка було отримано через реверс стараннями @James_inthe_box

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
111.118.215.27 lockoutindia{.} com GET /zwe/tt.exe HTTP/1.1 Mozilla/4.0
216.146.43.71 checkip.dyndns{.} org GET / HTTP/1.1
DNS > MX Standard query response 0x2ffe A smtp.egest-eg{.} com CNAME us2.smtp.mailhostbox{.} com
A 208.91.199.225 A 208.91.199.223 A 208.91.198.143 A 208.91.199.224
# # #

IOC:
https://pastebin.com/cZxQGbyq

Контрзаходи:

• Перевірте вихідні з’єднання на зовнішні поштові сервери (zoho, etc)
• Оновлюйте MS Office
• По можливості не використовуйте формат RTF
• Блокуйте трафік для EQNEDT32.EXE
• Забороняйте/контролюйте створення .exe у C:\Users\
• Блокуйте на Proxy нетипові User Agent.

Будьте уважні та обережні

VR

IOC_agenttesla_041018

04/10/18 зафіксовано перший випадок доставки “нового гравця” – #AgentTesla

Даний тип ШПЗ відстежує клавіатуру (keylogger) та надає віддалене керування (RAT).
Також застосовується для стеження через знімки екрану.

Особливі прикмети даного типу – передача даних через поштові системи (SMT 25, 587)

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
202.143.99.109 modimedia{.} in GET /zom/U.exe HTTP/1.1 Mozilla/4.0
216.146.38.70 checkip.dyndns{.} org GET / HTTP/1.1
204.141.43.210 S: 220 mx.zohomail{.} com SMTP Server
# # #

IOC:
https://pastebin.com/JYShuXn4

Контрзаходи:

• Перевірте вихідні з’єднання на зовнішні поштові сервери (zoho, etc)
• Оновлюйте MS Office
• По можливості не використовуйте формат RTF
• Блокуйте трафік для EQNEDT32.EXE
• Забороняйте/контролюйте створення .exe у C:\Users\
• Блокуйте на Proxy нетипові User Agent.

Будьте уважні та обережні

VR