去年,我们记录一个新的社会工程工具包,我们称之为“domen”在野外使用。威胁演员正在使用此套件来诱骗访问者进入访问受损的网站,并在浏览器更新或缺少字体的幌子下安装恶意软件。
尽管是一个强有力的工具包,我们去年只看到了零星运动中的多伦,通常重复使用已经部分中断的相同基础设施。但是,我们最近遇到了一个新的恶意运动使用全新的基础设施,显示Domen仍被威胁演员使用。
尽管Domen与其他社会工程模板共享了相似之处,但它的方式是独一无二的。负责假更新的客户端JavaScript是我们见过的最彻底和专业的编码工作之一。
以前,我们已经观察到Domen推动了NetSupport Rat.和掠夺者小偷使用自己的自定义下载器。这一次,我们注意到威胁演员似乎正在尝试的变化吸烟者,后跟几种不同的有效载荷。
多米伦:起源
我们于2019年9月发布了我们的原始博客,但多伦已经活跃了几个月。我们在2019年4月在Blackhat论坛中发现了一个广告时,我们确认了这一点,推出了工具包作为安装EXE和APKS的一种方式。
在我们的博客结束后几个月,我们观察了另一个广告系列的多么 - 可能是由同一个威胁演员进行的。然而,与前者在受损的网站上使用的前一篇,这次是通过恶意链(Celeritascdn [。] Com),导致托管在Tendermeets的诱饵成人网站[。]俱乐部(Ftvgirls的杂志[。]COM)。
我们认为这两个广告系列相关的原因是因为有效载荷的传递矢量使用相同的技术,即将恶意文件上传到Bitbucket。
2019年11月底和2020年2月的大部分时间,多伦多人类沉默了。
最新的多民主义运动
2月19日,我们抓住了一个新的域名的新域名,这次使用VPN服务作为诱饵。
威胁演员刚刚创建了新的基础架构来托管欺诈性页面(搜索[。]信息),下载站点(Mix-World [。]最佳)和后端面板(Boare-Admin [。]最佳)。
有效载荷是这种感染链是烟雾装载机。在一个实例中,烟雾装载机分布了几个二级有效载荷,包括Intelrapid Cryptominer,Vidar Steger,以及Buran Ransomware.。
这是一个有趣的有效载荷组合,似乎更多常见的这些日子。
更多的社会工程方案
Domen是一种制作精心制作的工具包,用于通过使用尝试和测试来分配各种有效载荷社会工程技巧。在跟踪其作者(或分销商)时,我们注意到其他论坛帖子广告同样的有效载荷安装,而是使用不同和创造性的主题。
该概念是相同的,即这些虚假网站诱人的用户诱惑用户下载恰好恶意软件的软件。
自浏览器爆炸率下降以来,威胁演员已经迁移到其他感染载体。就网络威胁而言,社会工程仍然非常有效。
必威平台APPMalwarebytes业务和必威平台APP适用于Windows Premium用户的Malwarebytes已经受到这种分发活动和伴随的有效载荷。
妥协指标
Domen Toolkit.
搜索 - 一个[。]信息
面板 - admin [。]最好
混合世界[。]最好
吸烟者
1A91B2A3A252554842DE875C89F6EEE105BC419D7E32D3A5C9F0F9078780AB30
Vuterfaste [。] ru
intelrapid.
46.166.129 [。] 235 /论坛/文件/ client.exe
33D5F80242B4006CE14BBA566921936157E0216B93FAAC823C42CC3F9aB4EC1
vidar.
46.166.129 [。] 235 /论坛/文件/ mass.exe
76CE130D2447F71BEA8ED902959FD7E0AEAC86B55F9E44A327C1F1C1BD73BA3F
Molothunsen [。] com
Buran / Zeppelin.
semantrus.pw/upload/open.exe.
0163BB148D4EB632D00D6D3080E07BBA46F2F3549E8F95A8CA8951C10280694F.
vidar.
cq08462.tmweb [。] ru / 88.exe
628A9C9A551555F60D3B5AE29BC64F1DCA5A6BAF2B4F6A1A1DE5E836CD4FB73F
绝望[。]网站
评论