AKS kurirska sluzba salje virus sa zvanicnog mejl servera

[VincaSec]

Korisnik Reddita je prijavio da je primio e-mail sa zvanične adrese domena aks.rs koji je sadržao virus. Nakon analize, utvrđeno je da je e-mail poslat putem Google SMTP servera, što znači da aks.rs koristi Google kao provajdera za e-mail usluge.

Dodatno, u e-mailu je pronađen DKIM potpis sa domena gappssmtp.com, što ukazuje na to da je e-mail legitiman prema Google-ovim standardima. Međutim, potrebno je proveriti da li je DKIM ključ koji se pojavljuje u zaglavlju (aks-rs.202...) zaista njihov, kako bi se potvrdilo da li je njihov sistem kompromitovan.


   
   

[milos_rs]

Iz headera deluje da ovo jeste poslato sa AKS naloga na guglu:

   

prolazi i SPF i DKIM :

   

Da imamo i DMARC bilo bi 100% sigurno da je tako, ali aks.rs definitivno koristi google mail, i mejl je došao sa gugla na gugl u ovom slučaju, da je neko uspeo da spufuje gugl na ovaj način ne bi slao malware spam od AKSa nego bi pokušao da nađe neke ozbiljne potencijalne žrtve. 
Iz principa Okamove oštrice sledi da je aks.rs mejl kompromitovan, što opet nije lak poduhvat obzirom da google ima dosta zaštite po tom pitanju, ali u infostealer kompromitacijama se kradu i kredencijale i kolačići, što bi omogućilo malicioznom akteru da se ponaša kao i originalno ulogovan korisnik, bez aktiviranja zaštita.

[x0va1ha11a]

Zanimljivo je da ne koriste samo od AKS-a infrastrukture, da su tu banke i druge institucije koje važe kod građana da su od poverenja. Ono što smo mi potvrdili je da nije u pitanju spoof, već da koriste njihovu infrastrukturu. Nismo došli do informacije da li su leak-ovani kredencijali ili na neki drugi način imaju pristup email serverima.

Primetili smo da su koristili exploit za 7-zip, da kroz kompresovanu biblioteku, da u trenutku kad se radi extract, da se pokrene malware i da koriste različite tehnike da bypass-uju zaštite na računaru. Znam da je prošao kroz različita popularna XDR rešenja. Zaustavljen je proces u nekom trenutku, aktivirala su se endpoint security rešenja, ali već je odradio određene konekcije, započeo određene procese...

Koristi aktivno duckdns.org, paste.ee i filemail.com. Takođe kroz neku analizu smo došli do toga da može da komunicira i kroz Telegram.

Nemam pristup emailovima koji su stigli, ali znam da su stizali tačno onim osobama koje su očekivale takav email, sa takvim sadržajem, tako da je čitava kampanja fino organizovana.