Вредоносные программы распространяются через Microsoft OneNote

malware IOC

Аналитическая группа ASEC выявила быстро растущую тенденцию распространения вредоносных программ OneNote с ноября 2022 года и классифицировала их по уровню сложности, основываясь на экране, который появляется при открытии файла.

Эти категории включают

  1. Тип, в котором вредоносные объекты скрыты простыми блочными изображениями
  2. Более сложные типы вредоносных OneNote

ВПо скрывает внутренние объекты, образцы, использующие технику RTLO (часто применяемую в PE-файлах) в именах файлов не-PE-типов, а также вредоносное поведение, рассчитанное на выполнение в несколько этапов с использованием скриптов пентеста, таких как фреймворк PoshC2. Все это говорит о том, что в будущем будут создаваться более разнообразные и сложные типы вредоносных программ.

Indicators of Compromise

URLs

  • http://a0745450.xsph.ru/
  • http://hp.buytoprint.com:9791/colors/cyan.ps1
  • http://toornavigator.sytes.net
  • http://www.helfeb.online/je14/
  • http://xworm.duckdns.org/dc.bat
  • https://bugladypestcontrolpostal.myportfolio.co
  • https://cdn-107.letsupload.cc/55rcV8J0ya/7c1e454c-1669672454/WizClient.exe
  • https://cdn-120.filechan.org/1482K6J0y7/7102e672-1669575502/WizClient.exe
  • https://depotejarat.ir/wp-content/uploads/1/Document.bat
  • https://files.catbox.moe/d309qn.ps1
  • https://teenwazeition.com/empty/crypto/Stud.exe
  • https://transfer.sh/get/291U2l/tpppp.bat
  • https://transfer.sh/get/jv3Hjg/AsyncClientq.bat
  • https://transfer.sh/get/MHdWxQ/AsyncClient.bat
  • https://transfer.sh/get/TScdAm/AsyncClient.bat
  • https://transfer.sh/rMitxs/Invoice212.bat

MD5

  • 02f7de88cf57af21517b682adc60c6fa
  • 09703331e54090107567a22723152915
  • 1047839a3bf9b6027d02ee3a1d9a2ad8
  • 1e81b3d4e2fbebc6de87ff7be4f5de49
  • 1fb21c563c56036ab2433f90a0a94046
  • 2cf3117be25319c1e8dc2c38dca33a33
  • 4d63d7f384bc70d6db9ce60bfda69619
  • 4f6c257e390885970d0e3ef9e1668acb
  • 60e4c69935e5540d0880b06f17f61a97
  • 732377e018b9292a070f7f93d0e92ac3
  • 76d72ce5462ee4e4e06b7a912677a16a
  • 775a301382aacf4b63ff30d3f96064d1
  • 83235f413a784a20332138aaf2b105f2
  • 9206ebf4fa5434405d34ae083005994f
  • a7978854ca864ae5fa9b663051459466
  • abd77fae0cc23a3483cd5aff74bf5915
  • b0c819dcd81a3f6ced6ca42a6686ceed
  • b4f4f7791b87db2b7b01e739db221f8b
  • c8ece1262d04355203fcb2fce697e073
  • c9e7b8dddc2f6f1b8db8292390303eaa
  • d47ef0caf476ae21f22c346071670ffd
  • ebc30d45db60b87f62799e345937b487
  • efcce7e4c3052829450c8c0c165aa563
  • f010a779fc5fa3c0d6ef8d08cf2f82c3
  • f2a18829a712bfb587cae08cbb1f1e49
  • f795cfc8b860b8bb0af6b93edb597b64
  • f7b15a3c158a7eaa05a3323c160dba20

Technical reports

SEC-1275-1
Добавить комментарий