TTL OSINT

Программа-вымогатель shadowRoot нацелена на турецкие предприятия

В этой статье рассматривается атака программы-вымогателя, нацеленная на турецкие предприятия, которая начинается с вложения PDF в подозрительных электронных письмах с домена "интернет[.]ru". PDF-файл содержит URL-ссылку, по которой загружается 32-разрядный двоичный файл, скомпилированный Borland Delphi 4.0, который затем сбрасывает дополнительную полезную нагрузку и запускает команды PowerShell для выполнения RootDesign.exe в скрытом режиме. Программа-вымогатель создает рекурсивные потоки в памяти, увеличивая потребление памяти и шифруя различные критически важные для системы файлы с расширениями "shadowRoot". Он также падает readme.txt файлы со случайными заметками на турецком языке и просит жертв связаться с указанным адресом электронной почты для обработки платежа с помощью крипто-кошелька и инструментов расшифровки. Программа-вымогатель подключается к российскому почтовому серверу SMTP (smtp[.]mail[.]ru) и отправляет информацию по электронной почте подозрительным учетным записям. Атака считается относительно простой и, скорее всего, является работой неопытного разработчика. Клиенты Force point защищены от этой угрозы на различных этапах атаки.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT для обеспечения более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все заслуги и авторские права принадлежат авторам оригинала.

Ссылка: https://www.forcepoint.com/blog/x-labs/shadowroot-ransomware-targeting-turkish-businesses

Примеры признаков компромисса:

• cd8fbf0dcdd429c06c80b124caf574334504e99a
• smtp.mail.ru
• https://raw.githubusercontent.com/kurumsaltahsilat/detayfatura/main/PDF.FaturaDetay_202407.exe
• 1c9629aeb0e6dbe48f9965d87c64a7b8750bbf93

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал