sLoad和Ramnit特马在英国和意大利活动

sLoad的初始版本出现在2018年5月,Proofpoint研究人员,但至少从2017年初开始,我们开始跟踪此演员(内部命名为TA554)的活动。见下图

从该组织攻击历史看,攻击者的目标是意大利,加拿大和英国,特别是向这些国家的收件人发送恶意电子邮件。这些电子邮件是以目标国家/地区的语言制作的,通常是个性化的,以便在电子邮件正文和主题的各个部分包含收件人的姓名和地址。TA554经常使用包裹递送或订单通知诱饵; 电子邮件包含链接到压缩LNK文件或压缩文档的URL。LNK文件或文档宏依次下载下一阶段 – 通常是PowerShell脚本,可以下载最终的有效负载或其他下载程序,如sLoad。

攻击者使用多个木马家族,包括Ramnit,Gootkit,DarkVNC,Ursnif和PsiXBot。

 

IOCs:

hxxps://invasivespecies[.]us/htmlTicket-access/ticket-T559658356711702 URL URL in email – 2018-10-17
hxxps://davidharvill[.]org/htmlTicket-access/ticket-V081650502356 URL URL in email – 2018-10-17
hxxps://schwerdt[.]org/htmlTicket-access/ticket-823624156690858 URL URL in email – 2018-10-17
5ea968cdefd2faabb3b4380a3ff7cb9ad21e03277bcd327d85eb87aaeecda282 SHA256 ticket-T559658356711702.zip – 2018-10-17
hxxps://hotkine[.]com/otki2/kine URL Zipped LNK gets PowerShell – 2018-10-17
a446afb6df85ad7819b90026849a72de495f2beed1da7dcd55c09cd33669d416 SHA256 kine – ps1 – 2018-10-17
hxxps://lookper[.]eu/userfiles/p2.txt URL PowerShell gets sLoad – 2018-10-17
hxxps://lookper[.]eu/userfiles/h2.txt URL PowerShell gets sLoad hosts file – 2018-10-17
79233b83115161065e51c6630634213644f97008c4da28673e7159d1b4f50dc2 SHA256 p2.txt sLoad – GBR – 2018-10-17
245c12a6d3d43420883a688f7e68e7164b3dda16d6b7979b1794cafd58a34d6d shSHA256a256 h2.txt sLoad hosts – GBR – 2018-10-17
hxxps://maleass[.]eu/images//img.php?ch=1 URL sLoad C&C – 2018-10-17
hxxps://informanetwork[.]com/update/thrthh.txt URL sLoad payload (Ramnit) – 2018-10-17
b1032db65464a1c5a18714ce3541fca3c82d0a47fb2e01c31d7d4c3d5ed60040 SHA256 Ramnit – 2018-10-17
xohrikvjhiu[.]eu|185.197.75.35 DOMAIN|IP Ramnit C&C – 2018-10-17

参考:

[1] https://asert.arbornetworks.com/snatchloader-reloaded/

[2] https://isc.sans.edu/forums/diary/Malicious+Powershell+Targeting+UK+Bank+Customers/23675/

[3] https://myonlinesecurity.co.uk/your-order-no-8194788-has-been-processed-malspam-delivers-malware/

[4] http://blog.dynamoo.com/2017/02/highly-personalised-malspam-making.html

[5] https://msdn.microsoft.com/en-us/library/dd871305.aspx

[6] https://www.uperesia.com/booby-trapped-shortcut-generator

[7] https://lifeinhex.com/analyzing-malicious-lnk-file/

[8] https://twitter.com/ps66uk/status/1054706165878321152

发表评论

电子邮件地址不会被公开。 必填项已用*标注