11.04.2019 15:03

Update: Aktuelle Malspam Kampagne

CERT.at möchte auf eine aktuelle Malspam-Kampagne hinweisen zu der wir aus ganz Österreich Anfragen erhalten haben.

Update: 11. April 2019: Wir möchten uns bei allen bedanken, die uns Vorfälle gemeldet und bei der Sammlung von Informationen zu der Malspam-Welle mitgeholfen haben.

Die Welle scheint nicht auf Österreich beschränkt zu sein, wie dieser Tweet vom deutschen CERT Bund nahelegt.

Beschreibung

Der Betreff der E-Mails enhält einen Hinweis darauf, dass es sich um eine Rechnung oder einen Scan handelt. Der From-Header ist gefälscht und enthält als angezeigten Namen den lokalen Part der Domäne an die die E-Mail geht. Der Linktext scheint auf ein internes .doc-Dokument zu verweisen, de facto führt er aber auf eine externe Seite, die Malware hostet. Beispiel:

Die Kampagne liefert mehrere unterschiedliche Payloads aus; es gibt aber Hinweise darauf, dass es sich zumindest bei einem um Emotet handelt.

Update: 10. April 2019: Wir haben mehrere Meldungen erhalten, die besagen, dass die Schadsoftware, sobald sie einen Client übernommen hat und Zugriff auf einen E-Mail-Account bekommt, Mailverläufe "kapert". Dabei erstellt sie eine Antwort auf einen echten Verlauf und baut in diese Antwort Links zu Malware-auslieferenden Webseiten ein.

Update: 11. April 2019: Einer der Gründe zum Erfolg der aktuellen Kampagne sind ohne Zweifel die im Update vom 10. April erwähnten gekaperten Mailverläufe. Einem Artikel von Cofense zufolge verwendet Emotet seit 09. April 2019 hochgradig personalisierte E-Mails. Dies deckt sich mit Berichten die wir von Betroffenen erhalten haben. Bisher ist unseres Wissens nach noch nicht klar, wie genau Emotet die personalisierten Mails erstellt. Viele Mails enthalten im From-Header den String "<FRIEND.EMAIL>".

IoCs

Bisher sind uns folgende IP-Adressen, URLs und Hashes bekannt, die in der Kampagne benutzt werden/wurden:

Update: 11. April 2019: Täglich von Researcher*innen aktualisierte IoCs und aktuelle Entwicklungen zu Emotet finden sich hier und hier. Um doppelte Arbeit zu vermeiden werden die unten gelisteten IPs, URLs und Hashes nicht mehr aktualisiert.

URLs

  • hXXp://ssrai[.]org/wp-admin/I_M/
  • hXXp://stylishlab.webpixabyte[.]com/hrpel37lgd/0_o/
  • hXXp://iran-gold[.]com/BzCYu-9u_ldXkubCA-K4/75ulao-6l63pw-ebca/
  • hXXp://houstonroselimo[.]com/wp-includes/b1jq-scfsdo-qegs/
  • hXXps://45.79.72[.]132:443/cone/splash/
  • hXXps://45.79.72[.]132:443/acquire/scripts/sess/merge/
  • hXXp://www.goldenholiday[.]vn/App_Data_/xxn8sb-ennvz-sqngcn/
  • hXXp://vimbr[.]com/wp-includes/qk98ajj-nralgm-dmrjgic/
  • hXXp://ardapan[.]com/wp-snapshots/h_k/
  • hXXp://markelliotson[.]com/css/z92gg-bgxb7b-qxac/
  • hXXp://mangaml[.]com/jdownloader/scripts/pyload_stop/6dgvf9-siwn2k-brvbri/
  • hXXp://kirstenbijlsma[.]com/webmail/16fnbwz-fxffhc-mszndw/
  • hXXp://www.lecombava[.]com/Surlenet/z6i00pt-alrk88-rixthw/

Update 10. April 2019: Folgende weitere URLs sind uns mitgeteilt worden:

  • hXXp://www.courchevel-chalet[.]ovh/fbmyql7/v8woyl-k6efvoz-tlns/
  • hXXp://drjamalformula[.]com/cgi-bin/4i6n-ecb8z3-aulvckq/
  • hXXp://mihoko[.]com/_vti_bin/d93yvm-q5lmc5r-qttig/
  • hXXps://wildheifer[.]de/mzrpn/hs3en5-k2zj4g5-rqgs/
  • hXXp://patmanunggal[.]com/wp-admin/kfds-du0l9-yriyxfg/

IPs:

Update 10. April 2019: Das A1-CERT hat uns darauf hingewiesen, dass sie mittlerweile mehrere hundert IP-Adressen in der Kampagne gesehen haben. Es handelt sich daher mit hoher Wahrscheinlichkeit um ein Botnetz. IP-Adressen als IoCs sind daher leider nicht sehr nützlich.

  • 62[.]77.153[.]120
  • 109[.]158.205[.]99
  • 188[.]221.112[.]91
  • 45[.]79.72[.]132
  • 88[.]156.97[.]210
  • 103[.]224.243[.]39
  • 198[.]20.177[.]35
  • 104[.]24.125[.]32
  • 94[.]130.52[.]106
  • 112[.]78.2[.]154

Hashes

MD5
1e859b707b768effd247919ec539757d
SHA-1
0613c8c10efd4df07ec5e227d85310c1c8165f9e


This blog post is part of a series of blog posts related to our CEF-Telcom-2016-3 project, which also supports our participation in the CSIRTs Network.

Autor: Dimitri Robl