Nowe kampanie Qakbota (lista C&C)
Do CERT Orange Polska trafiły próbki nowej kampanii Quackbota (ostatnią opisywaliśmy w październiku). Obecna jest podwójnie groźna, bowiem nie tylko wciąż wiele silników antywirusowych jej nie wykrywa, to na dodatek w niektórych przypadkach maile udają korespondencję z Orange Polska.
W opisywanym przypadku ciekawie wyszła sytuacja, gdy na adres firmowy w domenie @orange.com trafił mail… od Orange, tym niemniej użycie szablonu charakterystycznego dal naszej firmowej korespondencji oraz poprawnej polszczyzny może niektórych zmylić.
Po otwarciu pliku z rozszerzeniem .one (Microsoft One Note) ofiara widzi poniższy obraz:
Po kliknięciu w „Open attachment” tworzony jest plik w lokalizacji
C:UsersXXXAppDataLocalTempOneNote16.0Exported{71D0F8F2-B8A4-42E3-94D6-28155DC09F1B}NT attachment.hta
o zawartości:
Użytkownik otrzymuje powiadomienie o tym, że zostanie wywołany skrypt i monit o kontynuację. Po potwierdzeniu pojawia się komunikat błędu, następnie stacja jest infekowana, a plik będący sprawcą – usuwany.
Serwery C&C
W toku analizy wykryliśmy poniższe serwery Command&Control
89.129.109.27:2222 213.31.90.183:2222 213.67.255.57:2222 217.128.200.114:2222 87.243.146.59:443 173.76.49.61:443 24.64.112.40:2222 47.21.51.138:995 175.139.129.94:2222 70.66.199.12:443 162.248.14.107:443 75.98.154.19:443 90.104.22.28:2222 58.247.115.126:995 91.231.173.199:995 116.72.250.18:443 119.82.122.226:443 98.145.23.67:443 202.142.98.62:443 202.142.98.62:995 70.77.116.233:443 74.33.196.114:443 12.172.173.82:20 47.61.70.188:2078 12.172.173.82:995 93.156.100.20:443 92.27.86.48:2222 92.154.45.81:2222 86.207.227.152:2222 136.232.184.134:995 143.159.167.231:2222 171.97.42.67:443 92.136.182.108:2222 91.165.188.74:50000 58.186.75.42:443 156.217.208.137:995 92.154.17.149:2222 27.109.19.90:2078 92.186.69.229:2222 | 72.80.7.6:995 65.95.85.172:2222 47.34.30.133:443 50.68.204.71:993 73.165.119.20:443 76.93.147.187:443 91.169.12.198:32100 24.228.132.224:2222 86.96.72.139:2222 103.144.201.53:2078 102.158.37.226:443 84.215.202.22:443 174.104.184.149:443 12.172.173.82:465 86.195.14.72:2222 113.188.252.28:443 109.159.119.95:2222 86.250.12.217:2222 79.9.64.37:995 86.196.12.21:2222 71.31.101.183:443 198.2.51.242:993 86.194.156.14:2222 24.64.112.40:3389 76.80.180.154:995 84.35.26.14:995 12.172.173.82:32101 73.36.196.11:443 81.229.117.95:2222 24.71.120.191:443 47.196.203.73:443 86.225.214.138:2222 103.252.7.228:443 172.90.139.138:2222 181.118.206.65:995 92.207.132.174:2222 103.212.19.254:995 31.167.254.199:995 | 87.202.101.164:50000 68.150.18.161:443 93.238.63.3:995 201.244.108.183:995 114.143.176.234:443 87.10.205.117:443 176.142.207.63:443 88.126.94.4:50000 173.18.126.3:443 91.254.132.23:443 12.172.173.82:50001 108.2.111.66:995 12.172.173.82:990 121.121.100.207:995 74.92.243.113:50000 69.119.123.159:2222 50.68.204.71:995 92.8.190.175:2222 114.79.144.210:443 31.120.202.209:443 76.170.252.153:995 75.143.236.149:443 69.133.162.35:443 49.175.72.56:443 102.158.206.194:443 181.118.183.2:443 172.248.42.122:443 12.172.173.82:2087 125.20.112.94:443 103.42.86.246:995 98.175.176.254:995 50.68.204.71:443 184.155.91.69:443 50.68.186.195:443 176.202.38.188:443 73.161.176.218:443 50.60.157.175:995 84.219.213.130:6881 27.0.48.233:443 |