Snake Keylogger IOCs - Part 2

Spyware IOC

Недавно CERT-AGID стало известно о кампании, основанной на использовании Snake Keylogger, эксплуатирующего имя Болонского университета. Заражение начинается с файла DOCX под названием "Elenco richieste dall’Università di Bologna (BO XXXX)".

Snake Keylogger

Вероятно, это целенаправленный случай вредоносного спама, о котором в настоящее время у нас нет никакой дополнительной информации. Документ Word не содержит ни логотипов вышеупомянутого университета, ни какого-либо осмысленного текста. В нем есть только одно слово без какого-либо смысла:

Поскольку документы DOCX не могут содержать макросы, в качестве начального вектора заражения использовалась внешняя связь с документом DOC. Существует несколько способов обнаружения связей в документе Word.

Информация, собранная на взломанной машине, включая учетные данные, извлеченные из основных клиентов, и данные, захваченные с помощью функций кейлоггера, пересылается в C2 после проверки того, что один из 194 процессов безопасности не запущен. Данный образец использует протокол SMTP для доставки эксфильтрованных данных на C2. Однако конфигурация этого вредоносного ПО также предусматривает возможность использования протокола FTP или, в качестве альтернативы, прямого обращения к боту Telegram.

Indicators of Compromise

IPv4

  • 104.168.32.152

Domains

  • smtp.citalmet.com.ar

URLs

  • http://104.168.32.152/2787/vbc.exe
  • http://104.168.32.152/OO.DOC
  • http://104.168.32.152/7798/vbc.exe
  • http://104.168.32.152/O_O.DOC

MD5

  • 26c1c8bc65bc1734c6fbb5c70c6711e5
  • 514a008df632272c2e6bb3ea4e54fc83
  • 61259b55b8912888e90f516ca08dc514
  • 8318aec68f9d4c0a09e9a23c3f66bdc3
  • 865004f0278a4301cd6919a58e09c9b2
  • 9faddd060caaa8f6b2c285225e9d0fb3
  • c2be0d4583bc551a308671709c1e253e

SHA1

  • 15bdd0d6897e80ec1bc80800759981b5f46d4935
  • 26dc1f074a685c83523ccd4a6ed77fce534ac984
  • ad58d9da0bc053b61196ba54d24adf142a6a1b83
  • cbe69cca8e39b881847a03a8f1214412d2c3976f
  • dc9b67cf7f292f6f8f380ffbf49014bd0db2b526
  • f431bc74dbc2de058839c497837bc831f6e6dd71

SHA256

  • 1a8ab52bb58371cdfdf171987be0fec8509fab2495da503417eff49567043850
  • 73ec76f4e4dfbc1f548ddbc1a5706f12e932f53abc8e30a3f3cc0adb8cc012b0
  • 9ec0a5d16ceb38c5068035a1e31cc43267fb0e1bf48437a8dd4829745791fa04
  • d037181a9e8d57201e9cd772144f2ce7e7a0b87f7362ccae4e055096ff3ea9b1
  • ee1071f45d5e61153dd8e1f2c78ee80928ffc86d7c7657a798099efbcbd9aaf5
  • f4caaca12511a364005bffaedeb802d4388e16f1bbf564386760619e9a15dccc
SEC-1275-1
Добавить комментарий