TACTICAL#OCTOPUS IOCs

security IOC
Опубликовано

По мере приближения крайнего срока уплаты налогов 15 апреля в США субъекты угроз активизируют фишинговые аферы, связанные с налогами, для заражения систем незаметным вредоносным ПО.

Налоговый сезон в США подходит к концу, и угрожающие субъекты не проявляют признаков замедления. Команда Securonix Threat Research выявила продолжающуюся гипер-целевую фишинговую кампанию (отслеживаемую Securonix Threat Research как TACTICAL#OCTOPUS), направленную на физических лиц в США с использованием, казалось бы, действительных налоговых форм и контрактов. Некоторые из замеченных документов-приманок содержали налоговые документы W-2, I-9 и контракты на покупку недвижимости.

Однако за вложением документов-приманок скрывается интересная вредоносная программа, которая использует скрытную тактику уклонения от AV, уровни обфускации кода и многочисленные каналы C2 (командования и управления).

Атака начинается с фишинговых писем, связанных с налоговыми вопросами. В письме будет содержаться защищенный паролем zip-файл, где пароль указывается в теле письма. Вложения имеют общепринятые названия с использованием языка, похожего на налоговый, например TitleContractDocs.zip или JRCLIENTCOPY3122.zip.
Внутри файла .zip содержится один файл изображения (обычно .png) и файл быстрого доступа (.lnk). Выполнение кода начинается, когда пользователь дважды щелкает по файлу ярлыка.

Как только код начинает выполняться, серия VBScript и PowerShell стейджеров извлекает дальнейшую полезную нагрузку с сервера C2. В конечном итоге мы будем наблюдать выполнение двоичного кода в памяти с помощью техники отражения PowerShell, используя легитимные процессы Windows.

Indicators of Compromise

IPv4

  • 109.206.240.67
  • 194.180.48.211
  • 5.8.8.100

URLs

  • http://109.206.240.67/anom/
  • http://109.206.240.67/shitter/
  • http://109.206.240.67/xlog/
  • http://194.180.48.211/fresh/
  • http://194.180.48.211/nini/
  • http://194.180.48.211/oy/
  • http://194.180.48.211/ryan/
  • http://194.180.48.211/sara/
  • http://194.180.48.211/zarath/
  • http://5.8.8.100/signal/

SHA256

  • 000bc200b6ba104ac05dcbcb9b54a4f9610d8190ab5f9a4a1a5b189b0057f006
  • 057b1da6363eedc2156003b8547ac57116793278b0b0b21767cc05fc8b143b99
  • 09b1fd66b0ec4b57861db145bf4cefff0ee5634eb5a156d04d04f8495d309dab
  • 0a542e1d7444df99461de2ca49a3859aa1a35b458f8f77b205aea0d14e6620a2
  • 0cea74786657ad2094759e2a512a648efecf9a33d6ce3ee0c7ac1840dbf276cc
  • 0d1dad9f09654d9f111e2e4d9451708237f2129cb674c380057938ea7a7ba4bf
  • 0dabff6f0dd86d59a869f2633f4eebc31a96b70bf90ed8e766ca22b49f68459c
  • 149ee334dc6cd0593aec294f405a9390623ab198080b476122433048402f93b4
  • 18d7be1dfaed274670ea6cdd3d45e864cdca173d5e71753dc69910334d0a92fa
  • 1b3d2a6e04de259510090506a7357bdeced4f8c2c95607359837b105409abad0
  • 1dc173bba60254b915f8fa88f2ee5730f8d9ba3919ffa7c7a3cc28c3728c43ec
  • 20d129d8ad727dc816fac7ab3dc4d3d3f3666220822de0d722db763fa138a246
  • 23597910ec60cf8b97144447c5cddd2e657d09e2f2008d53a3834b6058f36a41
  • 27806a2c2a1246965d0e15d20dc6f3d46df0cb242c3296311f40dd63991cd02c
  • 2893eab39fa7bd0db75cb5657565e04f1a438e6397f7fd2990f0a03e9954bbc0
  • 2cf0f2c5d665438ac31a6b2880cd8ff637e7d4339781b5f2d26e7bc6058b737f
  • 2f2892ce3885179c5ddd3ced5f8e3ae5f890ed0cef989f62a0285de136e31fa3
  • 34a689fc4ca1f0b001bee4b0640487e98fce0c67ec67cdf076d86efe9b10072f
  • 34bdc88439fa6c06be4fa4b8a1747366157e71f196a20686366b8dacaf9e3ffc
  • 4080b180ba4b33becc75686bc7f739a7d0ca6df446f3f6749bcd7a356c76ce66
  • 46c5b1f2090450b537389b1e221f7264a460fe47387e746555ba0543c0782ef9
  • 4dbd53b7ce4753778b1c2375a21fc4641e36d57880579779b376d4d8b591c6f7
  • 562ec1673c90fd1932f60b0f4e26e02a059347b88aa2d8fc0bddd058427d6946
  • 5ac2a9e27896c467eb5363ab24c931a5b721c3a715590441a936eb49b06dfb3e
  • 63559daa72c778e9657ca53e2a72deb541cdec3e0d36ecf04d15ddbf3786aea8
  • 6e3b660bd913e1bd538811501fbc42ad9f4786c8258b7120e76d671c23252403
  • 6e5163d9b9992847cab46d48c691c2a04f6d01e5b430dea02aa2a8119c299047
  • 6e641de68bfd6ab98e297704ab27f784cde401eaaa2d3f7d8653553c60f977da
  • 73e714ee977ba7c4cd32f52539f94031b52fcaa90448ceaeb910fd22932e9d4e
  • 76c22709a51448a508852f449d1b756d45754150093d6a5fb5eaef34673bbd82
  • 7bd663ea34e358050986bde528612039f476f3b315ee169c79359177a8d01e03
  • 85e27758a4ed4b7754b8003de1313540678f216bd21d883f03c2512bc89c32dc
  • 86a3eea0abb10bdcac6a00b9bdf1d76a408fbdd27db8be389757e069a2855f11
  • 87dc4e513a7023f1b8d38499c6fede4e6ab7ec563e1f0dbbd5e9b365e213d145
  • 88b917c71897d8d516a5386818e83a62cc210fd52b52ee069875e56d5142e015
  • 8ab6933a480b546996a19daa13a7b5b0429099bfea57d42055f97fe9d3e251cf
  • 907756fb841a1ed62e245a9d97b8c8ead78fa4fb6ec4357088f283e8db4f62f4
  • 926fe7f70c86b5c16a632344191820206772f8c53ac075446b138d209a1bf22a
  • a373f01a9cd3e3db683ab892027c1a529bdb7f1f8a8c114be940cd10a27366c7
  • a639cb71f6f021a531d79c4ec2c9b22c5244874f6c959135d843e1db3476b1f4
  • ab1eb7454d2cc5549c4c09422cdeb2fbf9254a977a42b03ca887a42d4e66f84e
  • c5be50f35fbda3fd8b996659fe3b1a648ac3eb4ded45825a0c158a1303cdae5a
  • c8be839ed95d6bcfd484ba7a9389ba0a56cfd8841c9fde04fe5651ed853bee1a
  • c914dab00f2b1d63c50eb217eeb29bcd5fe20b4e61538b0d9d052ff1b746fd73
  • cf55584023a70e43ec2637532cc8150c00f007825f705ef07dcef39c9f6b74ef
  • d562a9e5cd1dc88de6308986d68edfd90dd0111f7971ec252dd09f12eb2f8b1a
  • dd7e1d8f39581e3f90e51e082e11344eed2668c0377439d769ddf5422b4c66fb
  • e03e3c2c78a20a58e6b9546f62dce95233362eee7534785ce0b79f7f0886ba5b
  • e1c6e7d919eebe7cf75d5acbae975bb4ad3c760ff303714297e9f7072df582d0
  • e45adb5a0dcfde2f3a70d2d4e91d6bcaec54858c61f0ecce3fc76d8cf6cf12e6
  • e4a600fe6f9928350d460b97162569d32e6acf70c7fe3ada68cbb6e861eeb972
  • e587fb76c736b268fca167994649b09401fef04a433f6c28480c315c83181e24
  • e5fd42c20d0c95edd3e1d12ddc4ddbe99a4f2adecfe0a14250ded98f189599a1
  • e72dc71684d57785129e128b05212467e528912106c8fe63c25baacbf0340ea5
  • ef1065677b256644113648caa26d75512bea881c4953396da561eae8231f56f3
  • ef7fb7af43f7ce46209da523f6b168de225694760f2e8243158d65beb31827de
  • f0382214714adc0d3c71fc5cd63f99f17f6a2e0a3cf45378cdaf236770793d65
  • f2d64f2cc3902c13e457656c06e2af1b4e11ec3f60e3ebc5d8f9e7bb3e673296
  • f79c1d0ddadc7222e3eaa82416f515ef263ae6b3ba2a8d87f4f458b2ef98e8ea
  • fc06588222dd51a08f9359e5d6ce9ee8c2ae90ff700533bc47d2ab4ead0071e8
  • fc1f9fc56f9b87242d205d67c40e5772c0a510650d83f1b7429dd037754c8eaf
  • ff6c37680217620045135d6ec7ac0f7ca7560d8e189c701837f335e45d3213de
  • ffe477577469c87c606e0cbd9d0da68446cd8d895e4f4ab0a083f0a05ac8ab20

 

Похожие записи:
  1. Распространяется фишинговый сайт, замаскированный под известный корейский сайт для входа в электронную почту
  2. GlobeImposter Malware IOCs
  3. Угрожающие лица злоупотребляют Atlassian, обходят несколько защищенных шлюзов электронной почты (SEG)
  4. APT37 (RedEyes) IOCs - Part 3
  5. Bitter APT IOCs - Part 3
Phishing Securonix TACTICAL#OCTOPUS
Добавить комментарий