В марте 2022 года исследователи CTU проанализировали вредоносный исполняемый файл, маскирующийся под русскоязычный документ.
Исполняемый файл показывает жертве документ-обманку. Этот документ написан на английском языке и, судя по всему, является легитимным, хотя исследователи ЦТП не смогли найти его первоисточник. В нем описывается миграционное давление и заявления о предоставлении убежища в странах, граничащих с Беларусью (Литва, Латвия и Польша), а также обсуждаются санкции Европейского союза (ЕС) против Беларуси в начале марта 2022 года. Исследователям КТП неясно, почему файл с русским названием загружает англоязычный документ.
Остальные три файла, загруженные с промежуточного сервера, типичны для использования китайской группой угроз BRONZE PRESIDENT перехвата порядка поиска DLL для выполнения полезной нагрузки вредоносного ПО PlugX.
Indicators of Compromise
IPv4
- 107.178.71.211
- 103.107.104.19
- 92.118.188.78
Domains
- zyber-i.com
- locvnpt.com
URLs
- http://107.178.71.211/eu/fontlog.dat
- http://107.178.71.211/eu/docconvdll.dll
- http://107.178.71.211/eu/Report.pdf
- http://107.178.71.211/eu/FontEDL.exe
- http://107.178.71.211/eu/DocConvDll.dll
MD5
- b0a7b7a1cb4bf9a1de7f4b1af46ed956
- 69ab42012ddce428c73940dcf343910e
- ad3ddb4cbe7ece8cb723f63f3b855b85
SHA1
- 937975e3ea50c15476aef050295f4031f5fda2a4
- 698d1ade6defa07fb4e4c12a19ca309957fb9c40
- 6856bb506a0858cc5597666d966b5b7499e38542
SHA256
- dbdbc7ede98fa17c36ea8f0516cc50b138fbe63af659feb69990cc88bf7df0ad
- 436d5bf9eba974a6e97f6f5159456c642e53213d7e4f8c75db5275b66fedd886
- ca622bdc2b66f0825890d36ec09e6a64e631638fd1792d792cfa02048c27c69f