PlugX Malware IOCs

malware IOC

В марте 2022 года исследователи CTU проанализировали вредоносный исполняемый файл, маскирующийся под русскоязычный документ.

Исполняемый файл показывает жертве документ-обманку. Этот документ написан на английском языке и, судя по всему, является легитимным, хотя исследователи ЦТП не смогли найти его первоисточник. В нем описывается миграционное давление и заявления о предоставлении убежища в странах, граничащих с Беларусью (Литва, Латвия и Польша), а также обсуждаются санкции Европейского союза (ЕС) против Беларуси в начале марта 2022 года. Исследователям КТП неясно, почему файл с русским названием загружает англоязычный документ.

Остальные три файла, загруженные с промежуточного сервера, типичны для использования китайской группой угроз BRONZE PRESIDENT перехвата порядка поиска DLL для выполнения полезной нагрузки вредоносного ПО PlugX.

Indicators of Compromise

IPv4

  • 107.178.71.211
  • 103.107.104.19
  • 92.118.188.78

Domains

  • zyber-i.com
  • locvnpt.com

URLs

  • http://107.178.71.211/eu/fontlog.dat
  • http://107.178.71.211/eu/docconvdll.dll
  • http://107.178.71.211/eu/Report.pdf
  • http://107.178.71.211/eu/FontEDL.exe
  • http://107.178.71.211/eu/DocConvDll.dll

MD5

  • b0a7b7a1cb4bf9a1de7f4b1af46ed956
  • 69ab42012ddce428c73940dcf343910e
  • ad3ddb4cbe7ece8cb723f63f3b855b85

SHA1

  • 937975e3ea50c15476aef050295f4031f5fda2a4
  • 698d1ade6defa07fb4e4c12a19ca309957fb9c40
  • 6856bb506a0858cc5597666d966b5b7499e38542

SHA256

  • dbdbc7ede98fa17c36ea8f0516cc50b138fbe63af659feb69990cc88bf7df0ad
  • 436d5bf9eba974a6e97f6f5159456c642e53213d7e4f8c75db5275b66fedd886
  • ca622bdc2b66f0825890d36ec09e6a64e631638fd1792d792cfa02048c27c69f
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий