TTL OSINT

Исследуем новый загрузчик Jellyfish

В статье рассматривается новый загрузчик вредоносных программ Jellyfish Loader, который был проанализирован исследователями CRIL. Загрузчик отличается отсутствием обфускации и использованием SSL-сертификата для проверки безопасности связи. Он подготавливает полезные файлы в формате JSON, асинхронно отправляет HTTP POST-запросы и обладает возможностями загрузки и выполнения шелл-кода. Загрузчик пытается подключиться к URL-адресу "hxxps://ping.connectivity-проверьте[.]com", чтобы загрузить шеллкод, но во время тестирования шеллкод не был успешно доставлен. Домен "проверка подключения [.]com" в прошлом использовался российским агентом Hades в ходе операции "Олимпийский разрушитель 2018", которая включала в себя распространение вредоносного сетевого червя, предназначенного для срыва зимних Олимпийских игр 2018 года в Пхенчхане, Южная Корея. Вредоносные документы, использованные в этой операции, очень похожи на те, что использовались в операции Olympic Destroyer. Загрузчик Jellyfish находится на ранней стадии разработки и подробно анализируется в статье, включая его асинхронный основной метод, сжатые библиотеки DLL, извлечение системной информации и кодирование Base64. Загрузчик содержит функцию, предназначенную для выполнения шеллкода, что позволяет предположить, что он способен обрабатывать и выполнять шеллкод, полученный с удаленного сервера CC. Домен CC "connectivity-check[.]com" был зарегистрирован под различными доменными именами ASN с 2016 года, преимущественно под номером ASN 16509 (AMAZON-02) с 2019 года. TA создала несколько поддоменов, предназначенных для использования в качестве законных проверок подключения для потенциальной связи по линии командования и контроля (CC). В статье также рассматриваются два вредоносных файла DOC, отправленных в VirusTotal в 2018 году, которые подключаются к одному и тому же домену "connectivity-проверьте[.]com" для загрузки сценариев PowerShell для дальнейших вредоносных действий.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://cyble.com/blog/investigating-the-new-jellyfish-loader/

Выборочные показатели Compromise:

• https://file.compute-ec2-aws.com/BinSvc.exe
• e577fa8e0491fe027bc4da86a01f64ea
• 66d24e2081fcfe3ffdcf80e208553f32b088c7e863668ab3813ba980e1efbc2c
• https://ping.connectivity-check.com
• e654e97efb6214bea46874a49e173a3f8b40ef30fd0179b1797d14bcc2c2aa6c

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал