2022-06-20 Mon

1. Cobalt Strike를 이용한 새로운 피싱 공격

Reference: https://www.bleepingcomputer.com/news/security/new-phishing-attack-infects-devices-with-cobalt-strike/

IOC: https://www.malware-traffic-analysis.net/2022/06/16/index.html

Matanbuchus 악성코드를 통해 Cobalt Strike 비콘을 드랍하는 새로운 악성 스팸 캠페인이 확인되었다. Cobalt Strike 는 공격자가 leteral movement와 추가 페이로드를 드랍하기 위해 자주 사용되는 침투 테스트 제품이다.

Matanbuchus 는 2021년 1월에 MaaS(malware-as-a-service)로 처음 광고되었다. 해당 악성코드의 기능에는 powershell 명령 실행, 독립 실행형 실행파일을 통한 dll 페이로드 로딩, 작업 일정 추가를 통한 지속성 설정 등이 있다.

악성 스팸 캠페인은 이전 이메일 대화에 대한 답장처럼 보이도록 제목에 Re: 를 표시한다. 이메일에는 새로운 zip 압축파일을 생성하는 html이 포함된 zip 첨부파일이 포함되어 있으며, 이는 Westeast Tech Consulting, Corp 에 대해 DigiCert에서 발급한 유효한 인증서로 디지털 서명된 MSI 패키지를 추출한다.

MSI 프로그램을 실행하면 Adobe Acrobat 폰트 업데이트가 시작되고 오류 메시지로 끝나게 하여 백그라운드 작업에 대한 주의를 돌리게 한다. 백그라운드에서는 두개의 Matanbuchus dll 페이로드(main.dll)가 두개의 위치에 드랍되며, 재부팅 이후의 지속성 유지를 위해 스케줄링 된 작업이 생성되고 C2 서버와 통신이 설정된다. 최종적으로 Matanbuchus 는 C2 에서 Cobalt Strike 페이로드를 로드한다.

IOC

213.226.114[.]15
144.208.127[.]245
185.217.1[.]23
190.123.44[.]220

Matanbuchus dll(32 bit)

SHA256: f8cc2cf36e193774f13c9c5f23ab777496dcd7ca588f4f73b45a7a5ffa96145e

telemetrysystemcollection[.]com

From C2 payload

SHA256: 39ec827d24fe68d341cff2a85ef0a7375e9c313064903b92d4c32c7413d84661
- https[://]telemetrysystemcollection[.]com/m8YYdu/mCQ2U9/home.aspx
SHA256: a5b06297d86aee3c261df7415a4fa873f38bd5573523178000d89a8d5fd64b9a
- XOR-ed binary converted from the above base64 text
SHA256: bd68ecd681b844232f050c21c1ea914590351ef64e889d8ef37ea63bd9e2a2ec

Cobalt Strike

SHA256: 4ee7350176014c7fcb8d33a79dcb1076794a2f86e9b2348f2715ca81f011e799
- http[://]144.208.127[.]245/cob23_443.txt
SHA256: 7643468adbc1fca4342b7458f0e1dc4ae11c0dde7c06e52fea02c1e057314def
SHA256: 6d3259011b9f2abd3b0c3dc5b609ac503392a7d8dea018b78ecd39ec097b3968
- http[://]144.208.127[.]245/cob_220_443.dll

Message box script

SHA256: 0a7e8fd68575db5f84c18b9a26e4058323d1357e2a29a5b12278e4bfa6939489

Email 첨부 파일(zip archive)

72426e6b8ea42012675c07bf9a2895bcd7eae15c82343b4b71aece29d96a7b22 SCAN-016063.zip
6b2428fcf9e3a555a3a29fc5582baa1eda15e555c1c85d7bef7ac981d76b6068 SCAN-026764.zip
af534b21a0a0b0c09047e1f3d4f0cdd73fb37f03b745dbb42ffd2340a379dc42 SCAN-068589.zip
b9720e833fa96fec76f492295d7a46b6f524b958278d322c4ccecdc313811f11 SCAN-231112.zip
23fe3af756e900b5878ec685b2c80acd6f821453c03d10d23871069b23a02926 SCAN-287004.zip
53af0319d68b0dcbf7cb37559ddfd70cce8c526614c218b5765babdc54500a49 SCAN-446993.zip
4242064d3f62b0ded528d89032517747998d2fe9888d5feaa2a3684de2370912 SCAN-511007.zip

HTML 파일(zip 파일에서 추출된)

d0e2e92ec9d3921dc73b962354c7708f06a1a34cce67e8b67af4581adfc7aaad SCAN-016063.html
56ec91b8e594824a678508b694a7107d55cf9cd77a1e01a6a44993836b40ec7a SCAN-026764.html
cc08642ddbbb8f735a3263180164cda6cf3b73a490fc742d5c3e31130504e97c SCAN-068589.html
e3b98dac9c4c57a046c50ce530c79855c9fe4025a9902d0f45b0fb0394409730 SCAN-231112.html
c117b17bf187a3d52278eb229a1f2ac8a73967d162ad0cfc55089d304b1cc8a7 SCAN-287004.html
82add858e5a64789b26c77e5ec4608e1f162aacbc9163920a0d4aa53eb3e9713 SCAN-446993.html
5708dced57f30ff79e789401360300fe3d5bdcf8f988ede6539b9608dfeb58fd SCAN-511007.html

zip 파일(위의 zip archives에서 생성된)

63242d49d842cdf699b0ec04ad7bba8867080f8337d3e0ec7e768d10573142b3 SCAN-016063.zip
6c5eb5d9a66200f0ab69ee49ba6411abf29840bce00ed0681ec8b48e24fd83da SCAN-026764.zip
ef4ea3976bad1cd68a2da2d926677c0cb04f4fc6e0b629b9a29a1c61ae984c46 SCAN-068589.zip
19bbebd1e8ec335262e846149a893f4ce803f201e4dee7f3770d95287f9245f3 SCAN-231112.zip
de26167160e7df91bbd992a3523ea6a82049932b947452bb58e9eed3011c769a SCAN-287004.zip
7f0bf9496f21050fbc1a3ce5ad35dc300f595c71ad9e73ff5fc5c06b2e35a435 SCAN-446993.zip
1bc74dfb2142e4929244c6c7e10415664d4e71a5301eaf8e03cb426fab0876f8 SCAN-511007.zip

MSI

face46e6593206867da39e47001f134a00385898a36b8142a21ad54954682666 SCAN-016063.pdf.msi
e22ec74cd833a85882d5a8e76fa3b35daff0b7390bfbcd6b1ab270fd3741ceea SCAN-026764.pdf.msi
2d8740ea16e9457a358ebea73ad377ff75f7aa9bdf748f0d801f5a261977eda4 SCAN-068589.pdf.msi
5dcbffef867b44bbb828cfb4a21c9fb1fa3404b4d8b6f4e8118c62addbf859da SCAN-231112.pdf.msi
c6e9477fd41ac9822269486c77d0f5d560ee2f558148ca95cf1de39dea034186 SCAN-287004.pdf.msi
4fd90cf681ad260f13d3eb9e38b0f05365d3984e38cfba28f160b0f810ffd4d3 SCAN-446993.pdf.msi
7e37d028789ab2b47bcab159da6458da2e8198617b0e7760174e4a0eea07d9c9 SCAN-511007.pdf.msi

저작자표시 비영리 변경금지

'깔짝할짝' 카테고리의 다른 글

2022-06-17 Fri (0)	2022.06.17
2022-06-16 Thur (0)	2022.06.16
2022-06-14 Tue (0)	2022.06.14
2022-06-03 Fri (0)	2022.06.03
2022-06-02 Thur (0)	2022.06.02

1. Cobalt Strike를 이용한 새로운 피싱 공격

IOC

'깔짝할짝' 카테고리의 다른 글

티스토리툴바