Командой реагирования на компьютерные чрезвычайные события Украины CERT-UA выявлен факт распространения электронных писем содержащих маячки Cobalt Strike Beacon.
TrickBot Botnet
В случае открытия документа и активации макроса, последний совершит загрузку, создание на диске и запуск файла "pe.dll". Указанное приведет к поражению компьютера вредоносной программой Cobalt Strike Beacon.
С высоким уровнем уверенности файл "pe.dll" защищен с помощью криптора, имеющего отношение к группе TrickBot.
Previous entries
Indicators of Compromise
IPv4
- 84.32.188.29
- 138.68.229.0
- 139.60.161.225
- 139.60.161.74
- 139.60.161.62
- 139.60.161.99
- 139.60.161.57
- 139.60.161.75
- 139.60.161.24
- 139.60.161.89
- 139.60.161.209
- 139.60.161.85
- 139.60.160.51
- 139.60.161.226
- 139.60.161.216
- 139.60.161.163
- 139.60.160.8
- 139.60.161.32
- 139.60.161.45
- 139.60.161.60
- 139.60.160.17
Domains
- dezword.com
- agreminj.com
- akaluij.com
- anidoz.com
- apeduze.com
- apokil.com
- arentuk.com
- axikok.com
- azimurs.com
- baidencult.com
- billiopa.com
- blinkij.com
- blopik.com
- borizhog.com
- britxec.com
- drimzis.com
- fluoxi.com
- shikjil.com
- shormanz.com
- verofes.com
URLs
- http://138.68.229.0/pe.dll
- https://dezword.com/apiv8/getStatus
- https://dezword.com/apiv8/updateConfig
MD5
- 877f834e8788d05b625ba639b9318512
- e28ac0f94df75519a60ecc860475e6b3
- a3534cc24a76fa81ce38676027de9533
- eb18207d505a1de30af6c7baafd28e8e
- e28ac0f94df75519a60ecc860475e6b3
SHA256
- ea9dae45f81fe3527c62ad7b84b03d19629014b1a0e346b6aa933e52b0929d8a
- 9990fe0d8aac0b4a6040d5979afd822c2212d9aec2b90e5d10c0b15dee8d61b1
- 39a868e84524669491d6a251264144f0bfaca4f664d3fd10151854c341077262
- ff30fdd64297ac41937f9a018753871fee0e888844fbcf7bf92bf5f8d6f57090
Files path
- rundll32 C:\Windows\Tasks\pe.dll,DllRegisterServer
- C:\Windows\Tasks\pe.dll