Remcos RAT IOCs - Part 7

remote access Trojan IOC

CERT-UA 21.02.2023 зафиксировано массовое распространение электронных писем якобы от имени Печерского районного суда города Киева с темой "Печерський районний суд міста Києва" и приложением в виде RAR-архива "електронний судовий запит № 7836071.rar".

Архив содержит текстовый документ "код доступа 3527 .txt" и защищенный паролем RAR-архив "електронний судовий запит № 7836071.rar", в котором находится исполняемый файл "електронний судовий запит № 7836071.pdf.exe" размером 688МБ с поддельной цифровой подписью.

Запуск EXE-файла приведет к установке на компьютере жертвы программы для удаленного контроля и наблюдения Remcos.

Заметим, что одно из электронных писем содержит заголовок "Received: from [91.228.10[.]77] (port=56344 helo=109x194x3x7.static-customer.bryansk.ertelecom[.]ru)"; при этом, указанный IP-адрес был применен 13.02.2023 при рассылке вредоносных электронных писем с темой "RE: Критичне оновлення безпеки" (MD5: 8fe5572d2683360d3483ad32e8bad9a1) и приложением в виде программы для удаленного управления Remote Utilities.

После успешного поражения компьютеров злоумышленники осуществляют эксфильтрацию аутентификационных данных, а также используют инфицированную ЭВМ для разведки локальной вычислительной сети и дальнейшего развития атаки на информационно-коммуникационную систему организации.

Indicators of Compromise

IPv4

  • 101.99.91.124
  • 101.99.91.158
  • 101.99.91.170
  • 101.99.91.176
  • 101.99.93.104
  • 111.90.148.194
  • 217.69.139.209
  • 217.69.139.232
  • 217.69.139.243
  • 77.91.100.6
  • 77.91.100.9
  • 80.78.248.17
  • 80.78.248.200
  • 91.228.10.77
  • 94.131.99.153
  • 94.131.99.156
  • 94.131.99.159
  • 95.163.235.80

Domains

  • courtbox.online
  • courtgova.online
  • courtgova.site

URLs

  • (tcp)://101.99.91.124:5222
  • (tcp)://101.99.91.158:5222
  • (tcp)://101.99.91.170:5222
  • (tcp)://101.99.91.176:5222
  • (tcp)://101.99.93.104:5222
  • (tcp)://111.90.148.194:5222
  • (tcp)://111.90.148.194:81
  • (tcp)://217.69.139.209:5222
  • (tcp)://217.69.139.209:81
  • (tcp)://217.69.139.232:81
  • (tcp)://217.69.139.243:81
  • (tcp)://77.91.100.6:5222
  • (tcp)://77.91.100.9:5222
  • (tcp)://94.131.99.153:5222
  • (tcp)://94.131.99.156:5222
  • (tcp)://94.131.99.159:5222

Emails

  • info@courtgova.online
  • info@courtgova.site

MD5

  • 099870d8fb21d5e9673711117ec4ff3e
  • 399327a4dd1ac365f99f6e77c6089897
  • 6d4eccbdf2de6a8d251dd5d290472be8
  • 90bc4319fc2bcf2d49d97e37fb99ea78
  • fcc95f2d4edad0ff682f190406b35ff0

SHA256

  • 5b9ec22aef059dc09bf82d694934e52d7cbfd8fd696b4c4e68ac10d7280d31d6
  • 86146b1265de8425e9c0960ba06464d2dfec7a0c803eaa31af29a7682700fa68
  • 8872d6afaa790c755ce42823549fa80f6594c9296d0f8fcc8dde5b0839d63c1b
  • eb07ad9ca3b06aee903d38512cf1157dd3b38f9fcbe919593af37d53c1f17a83
  • ee4a2d34012f5ea2b2d1c6c60f322a5a36c31748700aa6ae73d1a7fa875dfed1
SEC-1275-1
Добавить комментарий