Zachytili jsme novou plošnou phishing-malware kampaň

Náš CDC tým v průběhu včerejšího dne zaznamenal u převážné většiny zákazníků projev Phishingové kampaně obsahující malware.

Zveřejněno dne: 15. 08. 2023

Inspirace a aktuality

Při provádění nestrukturovaného Threat Huntingu (založeného na IoC) jsme u našich zákazníků v rámci proaktivních kontrol ověřovali hypotézu, zda se IoC: 185.250.21.9 / mail.sk-kashtan.kiev.ua projevovalo v jednotlivých infrastrukturách. U všech dotčených jsme identifikovali:

Od včerejšího poledne (přesně od 12:24 hod) evidujeme pokusy o navázání tcp25/smtp z tohoto zdroje. Tyto pokusy se opakují i dnes, ale s menší intenzitou (cca 20 pokusů/hod).
U některých zákazníků došlo k blokaci na základě (nejen) geolokačních politik NGFW ochran, zdaleka se to však netýká všech.

Vzhledem k projevům u více našich zákazníků lze předpokládat, že tento zdroj IoC: 185.250.21.9 / mail.sk-kashtan.kiev.ua byl kompromitován a nyní slouží k rozesílání phishingových/malware zpráv.

Identifikátory kompromitace:

Poslední aktualizace (23. 7. 2023, 13:51)

Domain: yogaoutreachproject.com

Další dostupné IoC: https://www.virustotal.com/gui/ip-address/173.201.183.100/relations

SHA-256 otisky/hashe souborů mířené na Česko:
d097d2973978aa8339b425c80e6955536659688525f7b1cf72b816d24efc17cf - CZ - HTML dropper
f33aa0176b144036fe83ebfd44b8b1ed7079b123704d9241f33f1a3937afff07 - CZ - HTML dropper
39372ec10b2720511f8ca94e8aed43273c507637ec03f9a1eac279aadeb22c55 - CZ - Trojan JavaScript
0bf70dbfe52900fc9a0d96fb2f97e8135db983ac61e70de730bcf4fce4be0735 - CZ - Trojan JavaScript

SHA-256 otisky/hashe souborů mířené na Francii:
0fe782744682a23ff1955e0a8de7b705d291de45c3d15001af6854ae29202ea9 - FR - HTML dropper
6b2b1415c898b1c1770ba62a1ecfb870a626a47d3f72811f803c2ec651808b71 - FR - Trojan JavaScript
822b0e065dd9e5bb4441ab4e7641f73e34d240272b2c664141d07abdd0ed7f2d - FR - Trojan JavaScript

SHA-256 otisky/hashe souborů mířené na Španělsko:
5fc537725e3ef6561bf8e3764199e62fc185e243995d43e027d940ddc7da9681 - ES - HTML dropper
29eceae92f7fc4649040300eb3f1ce3dea116bc8edd87158412eb7491e40fa29 - ES - Trojan JavaScript
faf0e2f9631b36dff720b69f361fed3ff6d9ab5deb42d606a9ac5da8e675d8d9 - ES - Trojan JavaScript

SHA-256 otisky/hashe souborů mířené na Rusko:
abc88bc4c177ddebeb486e37e0813bf81ce586ac7bbdb8b8485dbc536e13aa35 - RU - HTML dropper
3d2c1a556d131ad2867279128610dd9609bb488bf591c216e95299c00536cdb2 - RU - Trojan JavaScript
5e8429bf385cd35544c8455fe4e93c95d3151a086286f48bc9d4d69bba3337af - RU - Trojan JavaScript

IP adresy:
185.250.21.9 (mail.sk-kashtan.kiev[.]ua)
173.201.183.100 (yogaoutreachproject[.]com)

E-mailová zpráva:

Odesílatel: lipovsek.bojan@euromedia[.]cz
Předmět emailu: "Specifikace objednávky"
Název přílohy: "Specifikace objednávky.pdf.htm"

Ukázka phishingového e-mailu této kampaně

V rámci proaktivních akcí zmíněné IoC doporučujeme dohledat a v rámci dostupných možností dát na blacklist jako: 185.250.21.9 (mail.sk-kashtan.kiev[.]ua) a 173.201.183.100 (yogaoutreachproject[.]com) phishing sender.

Projev je přibližně následující: malphish ze zdroje 185.250.21.9 obsahuje html dropper, který po otevření a kliknutí na tlačítko download stáhne .zip file, který vypadá jako dokument, ale obsahuje obfuskovaný .js file, který je Trojanem. Včera kolem 15. hodiny bylo zmíněné IoC zcela neznámé pro většinu OSINT nástrojů.

Konkrétní projevy stále zkoumáme. Informace budeme nadále doplňovat.