Emotet Botnet IOCs - Part 21

botnet IOC

Центр  реагирования AhnLab Security Emergency response Center (ASEC) недавно обнаружил распространение Emotet через OneNote. Фишинговое письмо, как показано ниже, прикрепленное к файлу OneNote, побуждает читателя открыть вложение, которое содержит вредоносный файл сценария (JS-файл).

После запуска файла OneNote он направляет пользователя нажать кнопку для подключения к облаку, чтобы открыть документ. В эту кнопку 'Next' вставляется вредоносный скрипт с именем output1.js.

Как показано ниже, выполняемый файл output1.js обфусцирован с помощью подстановки строк. Выполняемый файл скрипта подключается к указанному C2 и загружает Emotet.

Загруженный Emotet выполняется через regsvr32.exe. Поскольку часто поступают сообщения о распространении вредоносных программ, использующих OneNote, пользователи должны быть осторожны при открытии электронных писем или файлов OneNote из неизвестных источников.

Indicators of Compromise

URLs

  • http://www.garrett.kz/faq/iSPVXBmuu3nUma5wkdy/
  • http://sdspush.beget.tech/connectors/GDSeP6kcWtck20hVy/
  • http://www.agropuno.gob.pe/wp-content/f9I32dWeuQcbpRt19mZ7/
  • http://sipo.ru/images/aCyHhlS8n0bXBg4BU/
  • http://meteo.camera/11/VkU/

MD5

  • b1a10568aa1e4a47ad2aa35788edc0af
  • ad0358aa96105ca02607a7605f3a1e80
  • 08d40c504500c324b683773b1c6189d9
  • 89457cb5c8b296b5fb9a39218b485e1a
  • 6c442d3235f3e60f7a9ea3efca0289ab
  • 32ec97bbc9826ee88697362023ba68ed
  • c3d33ce14a48096e1cd5ce43fa4e307e
  • 27f882a2b795abfae8f33440afcd3ad4
  • 50150db8010ddc87150cb8445f45d270
SEC-1275-1
Добавить комментарий