CERT-UA 21.02.2023 зафиксировано массовое распространение электронных писем якобы от имени Печерского районного суда города Киева с темой "Печерський районний суд міста Києва" и приложением в виде RAR-архива "електронний судовий запит № 7836071.rar".
Архив содержит текстовый документ "код доступа 3527 .txt" и защищенный паролем RAR-архив "електронний судовий запит № 7836071.rar", в котором находится исполняемый файл "електронний судовий запит № 7836071.pdf.exe" размером 688МБ с поддельной цифровой подписью.
Запуск EXE-файла приведет к установке на компьютере жертвы программы для удаленного контроля и наблюдения Remcos.
Заметим, что одно из электронных писем содержит заголовок "Received: from [91.228.10[.]77] (port=56344 helo=109x194x3x7.static-customer.bryansk.ertelecom[.]ru)"; при этом, указанный IP-адрес был применен 13.02.2023 при рассылке вредоносных электронных писем с темой "RE: Критичне оновлення безпеки" (MD5: 8fe5572d2683360d3483ad32e8bad9a1) и приложением в виде программы для удаленного управления Remote Utilities.
После успешного поражения компьютеров злоумышленники осуществляют эксфильтрацию аутентификационных данных, а также используют инфицированную ЭВМ для разведки локальной вычислительной сети и дальнейшего развития атаки на информационно-коммуникационную систему организации.
Indicators of Compromise
IPv4
- 101.99.91.124
- 101.99.91.158
- 101.99.91.170
- 101.99.91.176
- 101.99.93.104
- 111.90.148.194
- 217.69.139.209
- 217.69.139.232
- 217.69.139.243
- 77.91.100.6
- 77.91.100.9
- 80.78.248.17
- 80.78.248.200
- 91.228.10.77
- 94.131.99.153
- 94.131.99.156
- 94.131.99.159
- 95.163.235.80
Domains
- courtbox.online
- courtgova.online
- courtgova.site
URLs
- (tcp)://101.99.91.124:5222
- (tcp)://101.99.91.158:5222
- (tcp)://101.99.91.170:5222
- (tcp)://101.99.91.176:5222
- (tcp)://101.99.93.104:5222
- (tcp)://111.90.148.194:5222
- (tcp)://111.90.148.194:81
- (tcp)://217.69.139.209:5222
- (tcp)://217.69.139.209:81
- (tcp)://217.69.139.232:81
- (tcp)://217.69.139.243:81
- (tcp)://77.91.100.6:5222
- (tcp)://77.91.100.9:5222
- (tcp)://94.131.99.153:5222
- (tcp)://94.131.99.156:5222
- (tcp)://94.131.99.159:5222
Emails
- info@courtgova.online
- info@courtgova.site
MD5
- 099870d8fb21d5e9673711117ec4ff3e
- 399327a4dd1ac365f99f6e77c6089897
- 6d4eccbdf2de6a8d251dd5d290472be8
- 90bc4319fc2bcf2d49d97e37fb99ea78
- fcc95f2d4edad0ff682f190406b35ff0
SHA256
- 5b9ec22aef059dc09bf82d694934e52d7cbfd8fd696b4c4e68ac10d7280d31d6
- 86146b1265de8425e9c0960ba06464d2dfec7a0c803eaa31af29a7682700fa68
- 8872d6afaa790c755ce42823549fa80f6594c9296d0f8fcc8dde5b0839d63c1b
- eb07ad9ca3b06aee903d38512cf1157dd3b38f9fcbe919593af37d53c1f17a83
- ee4a2d34012f5ea2b2d1c6c60f322a5a36c31748700aa6ae73d1a7fa875dfed1