С декабря 2022 года Cisco Talos наблюдает за тем, как неизвестный агент использует две относительно новые угрозы - недавно обнаруженную программу MortalKombat ransomware и GO-вариант вредоносной программы Laplas Clipper - для кражи криптовалюты у жертв.
Типичное заражение в этой кампании начинается с фишингового письма и запускает многоступенчатую цепочку атак, в ходе которой агент доставляет вредоносное ПО или программу-выкуп, а затем удаляет доказательства наличия вредоносных файлов, заметая следы и затрудняя анализ. Talos также заметила, что агенты сканируют интернет в поисках машин-жертв с открытым портом 3389 протокола удаленного рабочего стола (RDP), используя один из своих серверов загрузки, на котором запущен RDP crawler, а также способствующий распространению MortalKombat ransomware.
Indicators of Compromise
IPv4
- 144.76.136.153
- 193.169.255.78
Domains
- clipper.guru
URls
- http://193.169.255.78/fw-apgksdtpx4hoaujjmbvdnxpohz.pdf.zip
- http://193.169.255.78/fw-cpgk2xfpx4hoaujjmbvdnxpohz.pdf.zip
Emails
- hack3dlikeapro@proton.me
SHA256
- 1bf30c5c51a3533b4f0d7d3d560df691657d62374441d772f563376b55a60818
- 26d870d277e2eca955e51a8ea77d942ebafbbf3cbf29371a04a43cfe1546db17
- 63ec10e267a71885089fe6de698d2730c5c7bc6541f40370680b86ab4581a47d
- 9a5a5d50dea40645697fabc8168cc32faf8e71ca77a2ea3f5f73d1b9a57fc7b0
- e5f60df786e9da9850b7f01480ebffced3be396618c230fa94b5cbc846723553
- f02512e7e2950bdf5fa0cd6fa6b097f806e1b0f6a25538d3314c793998484220