Posted in Novosti

Analiza spam kampanje sa malicioznim email porukama

 Published Date: February 28, 2019

Analiza spam kampanje sa malicioznim email porukama

CERT RS je obavio analizu spam kampanje na institucije vlade Republike Srpske. Poruke elektronske pošte sadržavale su link prema serveru sa malicioznom datotekom. Sama poruka je napisana na engleskom jeziku i glasi:

Our accounting office send out a wire transfer on Monday for $850.61 to cover the 4 invoices.

Please review and let me know if you have any questions.“

Sam potpis elektronske pošte sadržavao je validna imena i prezimena, te email adresu zaposlenih u vladi Republike Srpske.

Otvaranjem linka pronađena je maliciozna .doc datoteka. Pregledom datoteke otkriveno je da sadrži sliku u .jpeg formatu i Base64 enkodovane podatke. Nakon ekstrakcije i dekodovanja podataka izvršena je inspekcija kojom je utvrđeno da sadržaj odgovara zaglavlju kompresovanih .zlib datoteka.

Raspakivanjem kompresovane datoteke utvrđeno je da je riječ o obfuskovanoj Visual Basic makro skripti. Iterativnim procesom deobfuskacije uklonjene su suvišne komande koje se koriste kako bi se sakrila prava svrha programa i otežala automatska detekcija. Makro je napisan kako bi se izvršio malver za instaliranje drugog malvera, tzv. dropper. Dropper je napisan u Powershell-u i ima mogućnost da preuzme binarnu izvršnu datoteku sa pet različitih servera.

Nad preuzetom binarnom datotekom izvršena je dinamička analiza korišćenjem cuckoo sanbox platforme. Malver ima ugrađene mehanizme koji trebaju da otežaju otkrivanje. Prvi mehanizam omogućava otkrivanje da li se malver izvršava unutar virtuelne mašine. Drugi mehanizam se ogleda u čekanju da korisnik bude udaljen od tastature, tzv. odgođeno izvršavanje, kako bi se umanjila šansa za otkrivanje.

Preporučujemo vam da blokirate adrese sa kojih dropper preuzima malver kako bi ste prekinuli lanac izvršavanja.

Indikatori kompromisa

Binarna datoteka

SHA256: cce2d65c9f9364337a1a359c9c1fc6d2ac21b6d2c307ece6d1eb5a5f6c999616

Adrese sa kojih dropper preuzima malver:

  • hxxp://ozon.misatheme.com
  • hxxp://18.136.103.27
  • hxxp://haqtransportnetwork.com
  • hxxp://havsanmuhendislik.com
  • hxxp://hayattfs.com

Adresa sa koje se preuzima .doc datoteka:

  • hxxp://13.211.153.58