Tag Archive | fareit

IOC_digest_02_2019

(Зразки за лютий 2019го)

Продовжуючи формат переднього дайджесту, ось вам перелік зразків, результати аналізу яких я можу оприлюднити:

01/02/19

розсилали #TVRat, (.pdf.scr) > %temp%\1.exe > AppData\Roaming\d4igle\svcc.exe , звіт

06/02/19

розсилали #Trickbot, .xls > macro > cmd > powershell > GET 2 URL > $env:temp+’\tmp1806.exe , звіт

07/02/19 – високий рівень складності та загрози, без EXE файлів (!)

розсилали #SobakenRAT, .lnk > powershell > get base64 > decode > fingerprint system > POST b64 on C2 , звіт

12/02/19

розсилали #Lokibot, .RAR > bat > exe , звіт

20/02/19

розсилали #shade, URL > GET .ZIP > JS > WSH > GET .jpg > %temp%\*.tmp , звіт

25/02/19

розсилали #shade, URL > GET .ZIP > JS > WSH > GET .jpg > %temp%\*.tmp , звіт

розсилали #coinminer, .SCR > C:\Intel\* , звіт

26/02/19

 

розсилали #formbook, doc1 > xml.rels > GET1 > doc2 > 11882 > GET2 > \Public\vbc.exe , звіт

27/02/19

розсилали #smokeloader, (lzh) > js > WSH > GET 2 URL > AppData\Roaming\Microsoft\Windows\Templates\??????.exe , звіт

розсилали #fareit, .doc (RTF) > 11882 > GET URL > \appdata\roaming\*.exe , звіт

– – – – – – – – – – – – – – – – – – – – – – –

Аналітика

Методи доставки

Для обходу фільтрів продовжують застосовувати такі методи:

Якщо розбити по категоріям, тоді отримаємо

Тенденції

Кампанія з розповсюдження ransomware #shade яка розпочалася ще в кінці 2018 року продовжувалась із переключенням з приєднань на посилання на JS (WSH).

Варто виділити цільову атаку із застосуванням LNK на PowerShell (#sobaken), яка проводилась без жодних exe файлів. Це той рівень, до якого усім потрібно бути готовими.

Крім того, цікавим є спосіб доставки у #formbook – два документи, перший з xml.rels, а другий із 11882.

Усе, що присилали в лютому могло створити інциденти тим організаціям які:

  • не контролюють макроси
  • не контролюють WSH
  • не королюють запуск powershell
  • не посилили фільтрацію приєднань

Узагальнені контрзаходи

Будьте уважні та обережні.

VR

IOC_Fareit_181018

18/10/18 проходила розсилка #Fareit (#Pony)

Схема:
email attach (ace) > exe > %temp%\subfolder\filename.exe

Мережеві маркери:
– – – – – – – – – – – – – – – – – –

194.36.173.171  armansaykham.com    POST /nonso/gate.php HTTP/1.0                           Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)

67.227.226.240  pornhouse.mobi      GET /main.php?dir=//Virgin%20Babes%20First%20Sex&start=1&sort=1 HTTP/1.0    Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)
# # #

Більше маркерів (чорновик звіту) за посиланням:
https://pastebin.com/u0D14L5r

Контрзаходи:

• Блокуйте нетипові/застарілі формати архівів
• Забороняйте/контролюйте створення .exe у C:\Users\
• Блокуйте на Proxy нетипові User Agent.

Будьте уважні та обережні.

VR

IOC_digest_0618

Усім привіт.

Через брак часу та велику кількість зразків надсилаю стислий дайджест того, що присилали наприкінці червня:

 

140618 

#LokiBot #lokibot

SHA-256               7df5d234ba9b5de40e8dae695471f2a0362de10177e3518eb7f9e8c172b47643
File name            PAYMENT SWIFT PDF.iso
File size 696 KB


SHA-256               1800b88ea906961b4ecfd374756cb2c7f0273c6048c04497e315224484cf659e
File name            PAYMENT SWIFT PDF.exe
File size 636 KB

 

h11p://ponsse{.} site/nzube/fre.php

104.28.26.87       ponsse{.} site     POST /nzube/fre.php HTTP/1.0 Mozilla/4.08 (Charon; Inferno)  

 

– – – – – – – – – – –

150618

#js #grandcrab

SHA-256               85838b0cbd2beac5e91b24afbf7a36156b2270bc0c874b6377541740b74a9851
File name            20188946_894679.jpg.zip
File size 21.92 KB

SHA-256               1f26017ef432aee644400e4854e54ff330c797ea8eb79190368fed9cf630377b
File name            e233d4ac26fee5ff56a6536d0db7373217b4c4a7
File size 21.78 KB

SHA-256               eb371764b422e9384e3fb8cbb12112e64666c362758c62bcabbd9f17c7d94341
File name            crabin.exe
File size 207.51 KB

 

h11p://92.63.197{.} 60/crabin.exe?agQefX

92.63.197.60       92.63.197.60       GET /crabin.exe?agQefX HTTP/1.1                            80           HTTP      133

66.171.248.178  carder{.} bit        GET / HTTP/1.1 Mozilla/5.0

217.156.87.2       carder{.} bit        POST /eeb?eyge=ies HTTP/1.1  (application/x-www-form-urlencoded)    Mozilla/5.0

 

#Trickbot

SHA-256               5e7a1ed5f9a1fbc9d7148fbc28a379dc0067508844b6d342084d26b75c995d4f
File name            75812277127A00113A.doc
File size 69 KB

 

macro > cmd > powershell > GET

 

h11p://onetimewonders{.} com/no.bin (!)

h11p://nepalhiking{.} com/no.bin (404)

 

SHA-256               503c5c3cb68e1e057df4b99fe338d65d44d4c6e1f49396929d3fff66044505af
File name            no.bin   !This program cannot be run in DOS mode.
File size 338 KB

 

h11p\188.124.167.132:8082/ser0611/

 

– – – – – – – – – – –

190618

 

#adwind

SHA-256               2a6ea5647c951659854df5bc3437462294815da880872cc93e96fc01cccd85e4
File name            ORDER SAMPLE.jar
File size 479.42 KB

 

javaw.exe  197.211.59.160  pmanlog.ddns{.} net

 

proc

"C:\Program Files\Java\jre1.8.0_171\bin\javaw.exe" -jar "C:\Users\operator\Desktop\adwind1906.jar"
C:\Windows\system32\icacls.exe C:\ProgramData\Oracle\Java\.oracle_jre_usage /grant "everyone":(OI)(CI)M
"C:\Program Files\Java\jre1.8.0_171\bin\java.exe" -jar C:\tmp\_0.32649732458480233098419347231064428.class
cmd.exe /C cscript.exe C:\tmp\Retrive6508158100243133376.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive3329749612520250823.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
cmd.exe /C cscript.exe C:\tmp\Retrive6611168625816267695.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive35953365366553471.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v extjXQeGNff /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\RmAnqeogmJS\ZQaAquQZKoS.tUCacg\"" /f
attrib +h "C:\Users\operator\RmAnqeogmJS\*.*"
attrib +h "C:\Users\operator\RmAnqeogmJS"
C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe -jar C:\Users\operator\RmAnqeogmJS\ZQaAquQZKoS.tUCacg
C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe -jar C:\tmp\_0.64094332285124526171507674142480917.class
cmd.exe /C cscript.exe C:\tmp\Retrive4167831113503291950.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive4003874893192164925.vbs
taskkill /IM UserAccountControlSettings.exe /T /F
cmd.exe /c regedit.exe /s C:\tmp\UjxCMXPFhx4211656766753692948.reg
taskkill /IM Taskmgr.exe /T /F
WMIC /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List
taskkill /IM PSUAMain.exe /T /F

 

comp

java.exe               1964       TCP        127.0.0.1              50131    127.0.0.1              7777       SYN_SENT

javaw.exe           2772       TCP        10.0.2.15              50102    185.208.211.142                3382       ESTABLISHED

 

#pony (fareit)

SHA-256               c0c4ad871ffe0231961fb2d77ee575c07e4ade470b0d6c84faa7f92ba511ee64
File name            decoded.gz
File size 188.51 KB



SHA-256               5dda41fb0abc6528d80995aedb47c0b59fc6467e7307bbdc75d097aef50fcd21
File name            deed.exe
File size 672 KB

 

185.6.242.251     hosedoin{.} ml   POST /fiv/roks/gate.php HTTP/1.0            Mozilla/4.0

 

– – – – – – – – – – –

200618

#adwind #jar

 

proc

—-

"C:\Program Files\Java\jre1.8.0_171\bin\javaw.exe" -jar "C:\Users\operator\Desktop\adwind20.jar"
C:\Windows\system32\icacls.exe C:\ProgramData\Oracle\Java\.oracle_jre_usage /grant "everyone":(OI)(CI)M
C:\Program Files\Java\jre1.8.0_171\bin\java.exe" -jar C:\tmp\_0.54780904655995994375189407378187035.class
cmd.exe /C cscript.exe C:\tmp\Retrive6543292869224297367.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive4922912961062946918.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
cmd.exe /C cscript.exe C:\tmp\Retrive2680843125772440624.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive8763095501247174336.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ZllOQijdfpg /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\VGyRmlBYozs\CFiYFpKudNh.vaZoLR\"" /f
attrib +h "C:\Users\operator\VGyRmlBYozs\*.*"
attrib +h "C:\Users\operator\VGyRmlBYozs"
C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe -jar C:\Users\operator\VGyRmlBYozs\CFiYFpKudNh.vaZoLR
C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe -jar C:\tmp\_0.7762377356869443373969133677298847.class
cmd.exe /C cscript.exe C:\tmp\Retrive5882107392697143603.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive1289986287422620902.vbs
taskkill /IM UserAccountControlSettings.exe /T /F
cmd.exe /c regedit.exe /s C:\tmp\DpVePFPaGi2225327046919394054.reg
taskkill /IM Taskmgr.exe /T /F

 

comp

—-

java.exe               3740       TCP        127.0.0.1              50177    127.0.0.1              7777       SYN_SENT

javaw.exe           3136       TCP        10.0.2.15              50176    185.208.211.138                4573       SYN_SENT

 

#pony #fareit

SHA-256               b3468cc1949f8686bd2bc8bda351dc4b31a45f9fcf6c2ea27279421c4465c431
File name            HSBC COPY.docx - clean
File size 76.05 KB


SHA-256               64fd95c4c13fadee7b5fbbe946f0bd66cce07a5a6488c2bc95faefb0098aa97d
File name            PAYMENTCOPY_PDF.exe
File size 50.55 MB

 

h11p://cellimark{.} com/yangzhouming/coreserver/gate.php

h11p://cellimark{.} com/yangzhouming/coreserver/shit.exe  – 404

 

103.63.2.238       cellimark{.} com                POST /yangzhouming/coreserver/gate.php HTTP/1.0       Mozilla/4.0

103.63.2.238       cellimark{.} com                GET /yangzhouming/coreserver/shit.exe HTTP/1.0            Mozilla/4.0                 – 404

– – – – – – – – – – –

Контрзаходи незмінні.

Хто забув чи не знав – дивіться попередні звіти по цим сімействам:

 

#LokiBot              https://radetskiy.wordpress.com/?s=lokibot

#TrickBot             https://radetskiy.wordpress.com/?s=trickbot

#Adwind              https://radetskiy.wordpress.com/?s=adwind

#Pony                   https://radetskiy.wordpress.com/?s=pony

 

Вдалого дня.

Будьте уважні та обережні!

VR