TTL OSINT

Распространение файла MSC с использованием сервиса Amazon

Аналитический центр безопасности AhnLab обнаружил вредоносный MSC-файл, распространяемый через сервисы Amazon, который использует уязвимость в файле apds.dll. При запуске файла из него загружаются различные вредоносные файлы, в том числе "msedge.dll", в "C:\Users\Public" из AWS S3 и запускает обычный PDF-файл и "Edge.exe". "Edge.exe" затем загружает "msedge.dll", расшифровывает файл "Logs.txt" для создания шеллкода и вводит его в "dllhost.exe" в качестве дочернего процесса. Введенный "dllhost.exe" подключается к определенному IP-адресу для загрузки дополнительного шеллкода и выполняет его. Источник файла неизвестен, но предполагается, что он был распространен с помощью фишинговых писем. Пользователям следует проявлять осторожность при открытии таких писем и рассмотреть возможность подписки на AhnLab TIP для получения доступа к соответствующим IOC и подробному анализу.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://asec.ahnlab.com/en/82707/

Примерные показатели Compromise:

• http://api.s2cloud-amazon.com:8080/api/v1/homepage/8deb7837590a7d071096da5f881a3e135ac6651d388615fe79e27104ad8a3a60
• 249c2d77aa53c36b619bdfbf02a817e5
• http://152.42.226.161:88/ins.tg
• https://speedshare.oss-cn-hongkong.aliyuncs.com/2472dca8c48ab987e632e66caabf86502bf3.xml
• 172.67.215.77

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал