Amenaza Sload Powershell

De acuerdo a lo publicado por el CERT-Yoroi italiano, está rastreando una amenaza con el nombre clave de Sload-ITA, debido a que han existido una serie de ataques emergentes dirigidos en Italia. Son correos electrónicos que comparten las mismas técnicas con un solo grupo de amenazas. Este tipo de campañas ya se han efectuado en el Reino Unido, con operaciones similares a las detectadas por los italianos.

Las campañas maliciosas comparten el mismo esquema, ocultación de código malicioso dentro de archivos comprimidos y además patrones similares en la extracción de las URLs.

El archivo comprimido ZIP contiene dos archivos distintos:

1.    Un enlace que apunta a la carpeta de sistema de archivos, en el caso de Italia “invio fattura elettronica.lnk”.

2. Una imagen JPG oculta “imagen_20181119_100714_40.jpg”, este archivo se almacena con atributos de persistencia ante eliminación o indisponibilidad del archivo.

A pesar de su simpleza, el LKN extraído ha sido armado de forma similar a la adoptada por el APT29, el cual al hacer doble click en el archivo, se genera un script de PowerShell, que busca cualquier archivo que coincida con el patrón establecido en la amenaza, que contiene un código ejecutable por el script PowerShell, puede descargar otros script desde la URL “firetechnicaladvisor.com” (Entre otras, ver listado), los que almacena en la carpeta “%APPDATA%/ ”.

Aún no está claro el grupo responsable de este tipo de actividad maliciosa, pero sin embargo representan una amenaza importante debido a la utilización de correos electrónicos con phishing bien diseñados, que disminuye la tasa de detección de este tipo de malware.

-->

RECOMENDACIONES

Se sugiere el bloqueo de los siguientes indicadores de compromiso.

     URLs

·         https://balkher.eu/doc/p2.txt

·         https://balkher.eu/sload/2.0/hostp1.txt

·         https://balkher.eu/sload//img.php?ch=1

·         https://cavintageclothing.com/update/b746yrthdfb.txt

·         https://hamofgri.me/images/captcha.php?ch=1

·         https://hamofgri.me/images/gate.php

·         https://icodeucode.com/col/euco

·         https://ljfumm.me/images/captcha.php?ch=1

·         https://ljfumm.me/images/gate.php

·         https://peatsenglishcider.com/seng/ishci

·         https://perecwarrio.eu/sload/

·         https://rootcellarproductions.com/documento/AE-9455933DGW-nota-cliente

·         https://sciencefictionforgirls.com/cience/ionfo

·         https://three-bottles.com/area-riservata/MA-47462780Y3-documento-cliente

·         https://upabovenewyork.com/.fatturazione/fattura-per-cliente-QN-OAYSAPV

     Dominios

·         ljfumm.me

·         peatsenglishcider.com

·         perecwarrior.eu

·         rootcellarproductions.com

·         sciencefictionforgirls.com

·         three-bottles.com

·         upabovenewyork.com

·         balkher.eu

·         bureaucratica.org

·         cavintageclothing.com

·         firetechnicaladvisor.com

·         hamofgri.me

     Direcciones IP

·         18.13.7.20

·         185.17.27.108

·         185.17.27.100

·         185.17.27.100

·         185.17.27.108

·         185.197.75.10

·         185.197.75.241

·         185.211.246.50

·         91.218.127.180

·         91.218.127.183

·         91.218.127.183

     Hashes

·         b702e8e23165273f8e90615ce4af2f158048bf6b615f545b992fbbb62f7eff27 zip

·         1cbe16ac066aeac78c2f3e41e2afa3433833bf6f65131bcfbf88db97e9b94efb jpg

·         d8f4ae0477f7e2931e89e4b6d3e78556d3b5765a2c08bc3bdec8c1f6dc0904c0 lnk

·         ed1007884730a664f9cc827fb60924079149a2fec08ca91c2342c368e727c330 zip

·         3b5b6cd6ecef252624ee3b5c80d27647766527920b76ebc533f9bc336bfe91ad jpg

·         0a392ded18578069c647383492253f990210b9c9f9293a6ded09eab7e0936562 jpg

·         b19794f283f9c09f997cbfcbec8c30a5e48eb520ee7bcabd0d62c7b527105f42 lnk

·         3866a58fe3d459173a28bfdee3ec7a90d7551761121fba9eda3685a268cdeda5  ps1

·         ed99528a9e818fb486e468d9744745fcfd7157cc8e18181dce7404483c12e834 zip

·         97f9bb29083458c88844a2cecca272a22cac8cf7960b76c3fa46e891eeb18236 lnk

·         444e29050bbe68484e33f4e30dbe165186f93884e3336643cfb965156141c5ae jpg

·         6a49ed883ed266682ec275a395e0d7c6489ded6a6d7072e84af696e82f3b49a3 ps1

·         f94ebce29158af5f4df34e5af428a514faeef20de08418ad0153ad2a9a07cea0 ps1

·         daadae8672c31474047f21008ec131cf6a102dac7ca8b8c6df89d35bdf2246da vbs

·         ee1dbf76665f5c07ba1c453d1890aa93307f759c5cce6f59f225111509482a64 ps1

·         062cc76eeb34d1d3bb5467836cd2d33cb973fc0a8129947af074675beb1fbf1f ini

·         df1cb74942fe9d0897431752c2d9717190aa38f79834e22aa885ec8881134505

REFERENCIAS

Para mayor información puede revisar los siguientes links de referencia.

https://blog.yoroi.company/research/the-sload-powershell-threat-is-expanding-to-italy/

--> https://isc.sans.edu/forums/diary/Malicious+Powershell+Targeting+UK+Bank+Customers/23675/

--> --> -->