Вредоносные JAR и файлы Polyglot

security IOC

На протяжении 2022 года Deep Instinct наблюдал различные комбинации файлов с вредоносными JAR. Первоначальная техника датируется примерно 2018 годом, когда она использовала подписанные MSI-файлы для обхода проверки подписи кода Microsoft. Год спустя, в 2019 году, Virus Total написал о технике полиглота MSI+JAR. Затем в 2020 году этой техникой снова стали злоупотреблять во вредоносных кампаниях, и Microsoft присвоила CVE-2020-1464 для решения этой проблемы.


Файл-Polyglot создается путем объединения двух или более форматов файлов таким образом, что каждый из них может быть интерпретирован по отдельности без ошибки.
На протяжении 2022 года Deep Instinct наблюдал, как образцы StrRAT и Ratty распространялись как Polyglot или как JAR-файлы с добавлением мусора в начале.

Indicators of Compromise

SHA256

  • 08921a6b0b2903b9c991acb869930c7cab3cbaf11e002be9c88400af48c3fa21
  • 0c14d804efe1db9377bfe3d5e06ba37a4817cc4bd0f6404ed7d705219295e815
  • 1056554bca75450d07fcc5df7c1ca4686a2fefbe76cc9fb60343364678ca8744
  • 19154b831614211de667c2aedd6a4b5b89d4bfc1e129eb402a6300ad2e156dcf
  • 262e6824f0c4c765e73a7041362d7a3a8d63dab1be91ecf5e80623ac6e2f389e
  • 2f4c6eb0a307657fb46f4a8f6850842d75c1535a0ed807cd3da6b6678102e571
  • 41ef2dfa736e9a24a1a29a373357ac249dad99f86f1cc0283ddd4765fa14e54a
  • 47fc7fc1658acfa2f7a0b388bea6b52787f186bf8297ce189a575d547dfbd8e0
  • 496251bb063e4ee3769139a34ccfbdd81ba52b004836da7aaabd5e5e67f87478
  • 4f00914f63181c0afbfff41a95f5f1364c61d78ffb250ec8ef3102b3d3bd7003
  • 521a2e7ee2558d83e29bceb68a8c4ea0ecce4bddcb05cc0d3b0365522f126d1f
  • 534a4b0e17723755dd8cbdcdec309004ef59c3dfacb87fac86da4548780d2f1b
  • 54814775c2f266cafe3d4ddc58bc400360aad8cea95e0d3ee74ceceb927cb3b8
  • 59a02230a78b87c97eebbf7cdba40ea17c7d9411d706fd255c2a6a025584fd9f
  • 5e288df18d5f3797079c4962a447509fd4a60e9b76041d0b888bcf32f8197991
  • 74c8d5e01e2bb52c6f5cd7863168085ff81bea970b5309ec180c2e1a299096df
  • 788f1abb67d6f21cf299e2f67a2b414d169e8ab16cc8a61bf698e5c7f1482999
  • 8d801f58d10dbcd52739fa35aa862286c3fe9606411f0e5f7b8b3fd71f678cad
  • 928551a303110983871266af840df71bf7427dcff242688c105f04d4aa87806b
  • 964eceee84de3d0b8b3565100c1e45dab1b4b5ff7c61f03a198a56714c03ca32
  • 9e0468a7249fd6bc2b911434b0c7afa2a9d92473e2402a1a3ad357119c579d63
  • a80add76ff8ad0e1c3bdab9459546fd724e1f4034248d1542aec1264c02d3857
  • a989289cd6df1b1c38dbda84eb3b286bb8fb7a2af9beb1e55b029dbf861bac83
  • a9ac4ae704da346a0f3d2960b084d8f314c0fd60a934116e3c75647c713314b6
  • b6a0dcd8c9bc11794837e8f9350e2816ae7a60d148f3e6f436c2645f450feeab
  • d00d85589908ba95536822dea356afb5a9148628a7e2207c6e850024c0ba434d
  • d0703f8f70aff6e3975f3b7c8d037b5a0d3d1b8e4a91b2a6c65227c7932dded5
  • d51d269b62e55d4af8a4bd72dcf3c5115ad27fe5466640041c658c0325194451
  • d8c04d3a6e6e5058c10a56890a9dcf41ac5e47a22dc1002e89415ee0f37c7f05
  • e2d67077cbcab70d47a95b8da25a2a35fe1f1099ed71d8b06f8e78dd741fc2b7
  • e3be7066e6922d7460dea80ca5b7fef8f4abc7b1f056d8f329c03b306e8ca9b0
  • e7812ff64dbe51584d3090e008b464510dbb87ac860c68d89e224621755021f9
  • f0e57c84ba1958cabf24cfec4a0d50be6b7bc0e45c639d08a53097494373ae9e
  • f2b36a7df3d0b4d63bbbc529b7a27282e5626300e1353d2596866e4a82165f64
  • f2d7e93978c0991e376466810adf18262e4a7fb2864c7a87f22e3fa71adb6519
  • f620c4f59db31c7f63e8fde3016a33b3bfb3934c17874dcfae52ca01e23f14de
  • f79ba296aeab13be409ee3ef435f47a8888f7186a062fa481603ec32f3d6b678
  • fe72f76f147bce32338a4b0b88c3d59dd3e85406ab1b3b273aab7cb7227fae52
SEC-1275-1
Добавить комментарий