FateGrab, StealDeal IOCs

security IOC

17.12.2022 от Центра инноваций и развития оборонных технологий Министерства обороны Украины получена информация о распространении средствами электронной почты (с использованием скомпрометированного электронного адреса одного из сотрудников оборонного ведомства), а также, мессенджеров, сообщения о необходимости обновления сертификатов в системе "DELTA". При этом, вложения в виде PDF-документов имитируют легитимные дайджесты подразделения ISTAR ОУВ "Запорожье", но содержат ссылки на вредоносный ZIP-архив.

В случае перехода по ссылке на компьютер будет загружен архив "certificates_rootca.zip", содержащий исполняемый файл "certificates_rootCA.exe", защищенный с помощью VMProtect (файл скомпилирован и подписан цифровой подписью 15.12.2022).

После запуска EXE-файла на ЭВМ будет создано несколько DLL-файлов, также защищенных VMProtect, и файл "ais.exe", имитирующий процесс установки сертификата. В дальнейшем, на компьютере жертвы будет осуществлен запуск двух вредоносных программ: FateGrab ("FileInfo.dll"; "ftp_file_graber.dll"), функционал которого предусматривает похищение файлов с расширениями: '.txt', '.rtf', '.xls', '.xlsx', '.ods', '.cmd', '.pdf', '.vbs', '.ps1', '.one', '.kdb', '.kdbx', '.doc', '.docx', '.odt', '. eml', '.msg', '.email' с их последующей эксфильтрацией с помощью FTP, и StealDeal ("procsys. dll"; "StealDll.dll"), предназначенный, среди прочего, для похищения данных Интернет-браузеров.

Indicators of Compromise

IPv4

  • 46.249.49.109

Domains

  • delta.mil.gov.ua.delta-storages.com
  • delta-storages.com
  • hexactor.com

URLs

  • ftp://46.249.49.109
  • https://46.249.49.109:4444
  • https://delta.mil.gov.ua.delta-storages.com/certificates/update
  • https://delta.mil.gov.ua.delta-storages.com/certificates/windows/certificates_rootca.zip
  • https://hexactor.com:4444

MD5

  • 13942c7497a15176b39cac1ac7aa79df
  • 3ddcd818f1e39467214c5b7153e2a3a0
  • 46cf25a8f1c22910cbc74a4b808fb926
  • 4ca23d887f85206d926c1caab0b7ddb3
  • 4e43623f2e9a31e39b62bc002b2223e9
  • 6f3ca264e301ea5b68a61ffe2051e946
  • 8a54222486372f92323b9e4279e9e9c2
  • 900d06af063b2cda241d04da62fa1662
  • d42e12a973be47c6ddd0b4a7c3a36536
  • ef802adb77dd0d0b8277994e720db2ca

SHA256

  • 03645ad472c8cce66b6089fb8f98bcd9027ca8ab2e01d404af09276efb84703f
  • 14765706b2de10b6f9a90268c7690222d2ea5155c9fa24317b86e6c0231d913e
  • 1c722ba09cdfb91fa6420b09f47aa15aaf7346d30f3974940d3bc73cdc84783f
  • 5d3cf96ee5e42e8f3d6548dd4fcf804ef5d5844220157ae9242cadf60a3afbac
  • 60a7f038cad5086b85f0be169f478a6b06f59785c2138fc64c8fdce88f049968
  • 6330248e2933a7ebdc873d05d7775f039a55b794eebdda78ca0902b110a54c31
  • 6850e8c4d3d774dfac1c5e09df3a9acc6d97b7afb66c8417ad80b5632f9e936d
  • a1a8e73ff09d5b55a6156e68c56b5cbf80cc4b9957f02e6c52136654956e334d
  • eadb75944134da5434174981bf295eed40d9b2404df8e6dbf12962b2e5075fa3
  • f671f9c7b8d6b2553db8c563d269aa52d573857f34d58b7a9539e9d8aea9f3d5
SEC-1275-1
Добавить комментарий