Codeby

Специалисты Лаборатории Касперского обнаружили массовую рассылку группировкой Head Mare, нацеленную на российские промышленные предприятия.

🔗 Цепочка атаки:
1️⃣ Жертва получает фишинговое письмо от "секретариата" с вложением Заявка_[REDACTED]_5_03Д.zip и просьбой подтвердить получение письма и ознакомиться с конфиденциальной заявкой.

2️⃣ Архив является вредоносным, но со своей особенностью. Обычно злоумышленники отправляют запароленный архив для уклонения от обнаружения средствами защиты, но здесь кроме этого они также используют технику polyglot. В данной атаке вложение является бинарным исполняемым файлом, в конце которого был дописан небольшой ZIP-архив.

Данная техника позволяет создавать файлы, которые читаются и интерпретируются разными системами по-разному. Polyglot-файл объединяет в себе элементы разных форматов так, чтобы каждая программа "видела" только свою часть данных, игнорируя остальное. В результате один и тот же файл может быть распознан как изображение, документ или исполняемый файл, в зависимости от контекста, в котором его открывают.

3️⃣ Внутри архива расположен файл с двойным расширением pdf.lnk, который при открытии запускает powershell.exe в скрытом режиме, активируя архив как исполняемый файл при помощи команды start, а пользователю в свою очередь показывает документ-приманку.

4️⃣ Исполняемая часть polyglot-файла представляет собой бэкдор на Python. При запуске он отправляет JSON c полями uid, private_ip и public_ip на С2 сервер и ждет ответ об успешной регистрации бота. Далее бэкдор опрашивает адрес http://109.107.182[.]11/task?uid={uid} в цикле и получает команду, которую выполнит с использованием функции Python subprocess.run. Также в бэкдоре реализована функция, позволяющая загружать инструменты на зараженный хост.

#️⃣ IoC

37c0c0b253088c845aad2f36520eaba5
922201bedb77289e17478df2206a40fa
9f250a3163546ee22471390f32d5fed3
c10c6c61dd7807641c2ab22584b64bde
f556f60c9c3877fbf464975ccb58c3f5
2386baf319bc550a6468bf62e661ca48
50c8ac460c185f7ea8cec33f876bef02
cb26c5d904b67f3cb3b2537753f8238a
e0aa78d9b915ff6cd1eb0bb18c73988e
68155b35a6f149a722ce0349a82edf58
109.107.182[.]11
185.130.251[.]101
nextcloud.soft-trust[.]com
hxxps://dveriter[.]ru/dnsclient.zip

Please open Telegram to view this post

VIEW IN TELEGRAM

👍33🔥10❤9🏆2🤔1

www.tgoop.com/codeby_sec/8964

6.92K viewsApr 21 at 15:43

Специалисты Лаборатории Касперского обнаружили массовую рассылку группировкой Head Mare, нацеленную на российские промышленные предприятия.

🔗 Цепочка атаки:
1️⃣ Жертва получает фишинговое письмо от "секретариата" с вложением Заявка_[REDACTED]_5_03Д.zip и просьбой подтвердить получение письма и ознакомиться с конфиденциальной заявкой.

2️⃣ Архив является вредоносным, но со своей особенностью. Обычно злоумышленники отправляют запароленный архив для уклонения от обнаружения средствами защиты, но здесь кроме этого они также используют технику polyglot. В данной атаке вложение является бинарным исполняемым файлом, в конце которого был дописан небольшой ZIP-архив.

Данная техника позволяет создавать файлы, которые читаются и интерпретируются разными системами по-разному. Polyglot-файл объединяет в себе элементы разных форматов так, чтобы каждая программа "видела" только свою часть данных, игнорируя остальное. В результате один и тот же файл может быть распознан как изображение, документ или исполняемый файл, в зависимости от контекста, в котором его открывают.

37c0c0b253088c845aad2f36520eaba5
922201bedb77289e17478df2206a40fa
9f250a3163546ee22471390f32d5fed3
c10c6c61dd7807641c2ab22584b64bde
f556f60c9c3877fbf464975ccb58c3f5
2386baf319bc550a6468bf62e661ca48
50c8ac460c185f7ea8cec33f876bef02
cb26c5d904b67f3cb3b2537753f8238a
e0aa78d9b915ff6cd1eb0bb18c73988e
68155b35a6f149a722ce0349a82edf58
109.107.182[.]11
185.130.251[.]101
nextcloud.soft-trust[.]com
hxxps://dveriter[.]ru/dnsclient.zip