Как стать автором
Обновить
407.38
Рейтинг
OTUS
Цифровые навыки от ведущих экспертов

TA505 нацелилась на розничную торговлю в США с помощью персонализированных вложений

Блог компании OTUS Информационная безопасность *
Перевод
Автор оригинала: proofpoint.com

Обзор

С 15 ноября 2018 года компания Proofpoint начала наблюдать за рассылками электронных писем от определенного агента, направленных на крупные розничные сети, сети ресторанов и продуктовых магазинов, а также другие организации, работающие в сфере производства продуктов питания и напитков. Эти почтовые сообщения пытались доставлять различные виды вредоносных программ, включая Remote Manipulator System (RMS), FlawedAmmyy и другие.

В одной из таких рассылок мы также наблюдали персонализацию вложений. Эти вложения содержали логотип компании-мишени в теле, чтобы сделать сообщения более правдоподобными.

Мы приписали эти действия TA505, организатору крупнейших акций Dridex и Locky по распространению вымогательского ПО за последние два года, а в последнее время - троянских программ удаленного доступа (RAT) и программ-загрузчиков. Изменение тактики - использование персонализированных вложений в довольно больших по размеру атаках в сочетании с нацеленностью на розничную торговлю - произошло как раз в преддверии сезона праздничных покупок.

Детали кампании

3 декабря 2018 года мы наблюдали атаку TA505, направленную почти исключительно на розничную торговлю, продукты питания и рестораны. В ее рамках были распространены десятки тысяч сообщений. 

Что еще более интересно, каждая предполагаемая мишень получила персонализированное вложение - метод, который TA505 ранее не использовала. Электронное письмо (Рисунок 1) якобы было отправлено с принтера Ricoh и содержало отсканированный документ. Сканированный документ на самом деле представлял собой вредоносное вложение Microsoft Word (Рисунок 2). Вложенный документ был адресован исключительно выбранной компании и даже содержал ее логотип в оформлении документа (размыт на рисунке с черным прямоугольником).

Документ содержал макросы, которые, если их активировать, загружали и выполняли файл MSI. Его исполнение приводило к инсталляции Remote Manipulator System (RMS) с файлом настроек, содержащим пользовательский адрес управления (C&C).

Рисунок 1. Электронная почта, использованная при попытке доставки вредоносного документа 3 декабря
Рисунок 1. Электронная почта, использованная при попытке доставки вредоносного документа 3 декабря

Ловушка, показанная на рисунке 2, является продолжением социальной инженерии, представленной в электронном письме, предлагая получателям включить макросы, чтобы они могли просмотреть содержимое поддельного отсканированного документа.

Рисунок 2: Прикрепленный документ с затемненным логотипом и социальная инженерия с целью убедить получателей включить макросы
Рисунок 2: Прикрепленный документ с затемненным логотипом и социальная инженерия с целью убедить получателей включить макросы

Заключение

TA505 годами определяла общую картину угроз, в основном благодаря огромным масштабам, связанных с их акциями до конца 2017 года. Если эта группа меняет тактику, то это, как правило, совпадает с более широкими изменениями, и в течение года мы видели, как TA505 и ряд других игроков сосредоточились на загрузчиках, RAT (Remote Access Trojan), похитителях информации и банковских троянах, часто в небольших, узконаправленных атаках. Злоумышленники следуют за деньгами, и, с падением стоимости криптовалюты, отдача от инвестиций в более точный таргетинг, улучшенную социальную инженерию и управление устойчивыми вирусами теперь кажется выше, чем у крупных вымогательских акций по принципу "разбей и захвати".

Учитывая продолжающийся сезон праздничных покупок, явную нацеленность этих кампаний на розничную торговлю и продукты питания в США, а также характер распространяемого ими вредоносного ПО - RATs и бэкдоры - TA505, похоже, готов воспользоваться преимуществами повышенной активности в этом секторе до конца года.

Индикаторы компрометации (IOCs)

IOC

Тип IOC 

Описание

hxxp://local365office[.]com/content

URL

Полезная нагрузка  документа

9206f08916ab6f9708d81a6cf2f916e2f606fd048a6b2355a39db97e258d0883

SHA256

RMS MSI дроппер

06c637ac62cab511c5c42e142855ba0447a1c8ac8ee4b0f1f8b00faa5310fe9f

SHA256

Самораспаковывающийся  RAR содержащий RMS

609b0a416f9b16a6df9b967dc32cd739402af31566e019a8fb8abdf3cb573e30

SHA256

RMS RAT

89.144.25[.]32:5655

IP:Port

RMS RAT C&C

0F 2B 44 E3 98 BA 76 C5 F5 77 79 C4 15 48 60 7B

Серийный сертификат

Серийный номер сертификата подписания кода

DIGITAL DR

Строка

Имя субъекта сертификата подписи кода

Подписи ET и ETPRO Suricata/Snort

2812668      ETPRO POLICY  Удаленная деятельность средств доступа к утилитам


Материал подготовлен в рамках курса «Reverse-Engineering». Всех желающих приглашаем на двухдневный онлайн-интенсив «Типовые алгоритмы работы файловых инфекторов». На занятии разберём структуры PE формата, пройдёмся в них в HEX редакторе, добьёмся необходимых изменений для внедрения кода.
>> РЕГИСТРАЦИЯ

Теги:
Хабы:
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 420
Комментарии Комментировать

Информация

Дата основания
Местоположение
Россия
Сайт
otus.ru
Численность
51–100 человек
Дата регистрации
Представитель
OTUS