SmokeLoader IOCs - Part 8

security IOC
Опубликовано

CERT-UA выявлен факт распространения электронных писем с использованием скомпрометированных учетных записей с темой "рахунку/оплати" с приложением в виде ZIP-архива.

Упомянутый ZIP-архив является файлом-полиглотом, содержащим документ-приманку и JavaScript-файл "pax_2023_AB1058..js", который, используя PowerShell, обеспечит загрузку и запуск исполняемого файла "portable.exe". Последний, в свою очередь, осуществит запуск вредоносной программы SmokeLoader (дата компиляции: 2023-04-24 11:45:17).

Даты регистрации доменных имен, а также дата компиляции файла свидетельствуют о том, что кампания инициирована в апреле 2023 года.

Активность группы UAC-0006 является финансово-мотивированной и осуществлялась с 2013 года по июль 2021 года. Типичный злонамеренный замысел заключается в поражении ЭВМ бухгалтеров (с помощью которых осуществляется обеспечение финансовой деятельности, например, доступ к системам дистанционного банковского обслуживания), похищении аутентификационных данных (логин, пароль, ключ/сертификат) и создании несанкционированных платежей (в некоторых случаях с использованием HVNC бота, непосредственно с пораженной ЭВМ).

Indicators of Compromise

IPv4

  • 193.106.175.177

Domains

  • 3dstore.pro
  • balkimotion.ru
  • coudzoom.ru
  • criticalosl.tech
  • homospoison.ru
  • humanitarydp.ug
  • ipodromlan.ru
  • lamazone.site
  • ligaspace.ru
  • maximprofile.net
  • redport80.ru
  • shopersport.ru
  • sindoproperty.org
  • superboler.com
  • zaliphone.com

URLs

  • http://3dstore.pro/
  • http://balkimotion.ru/
  • http://coudzoom.ru/
  • http://criticalosl.tech/
  • http://homospoison.ru/one/portable.exe
  • http://humanitarydp.ug/
  • http://ipodromlan.ru/
  • http://lamazone.site/
  • http://ligaspace.ru/
  • http://maximprofile.net/
  • http://redport80.ru/
  • http://shopersport.ru/
  • http://sindoproperty.org/
  • http://superboler.com/
  • http://zaliphone.com/

Emails

  • beliy@atl.ua
  • inbox6@dl.kr-admin.gov.ua
  • nvn@mayak.dp.ua

MD5

  • 12f77d1be4344fb88f1093550b092ab6
  • 185efba2b3bf87e7d49a05ebb0ad5114
  • 3de79fc46c7f32807397309d52001b25
  • 68bc4ce7b6c15f1f5a40e361b2214fce
  • 8f05b8ea15b88c441219cf8310010df0
  • ef40fca1afe6ae5320cf396a736718ad

SHA256

  • 24471f2fd20e7386aa533b51bf851cdeb9ee0750a615273c6004b86e463d36d2
  • 352974cfdf1a7e182180f8c813a159ae44bb35268d76fae91ab64139be9200bd
  • 3c4440dde25ead7074bf3bf90aed31844310c3f1da90ff7e20922fad4c3eab25
  • 7ee1ab4270a5293e7151a6321ce17962022802f72a7d58c264e43a016a8a49a4
  • cd0226a2b9c38ab99f2bbe4461b7fc9d4b07faafbe1ccc53d92bf08d1903a8ae
  • f4e72685fb3efa5bad200451d36c7d1e72a94515c515bdbb09c00254dca289ea
Похожие записи:
  1. ArguePatch Loader IOCs
  2. SmokeLoader IOCs
  3. SmokeLoader IOCs - Part 2
  4. SmokeLoader IOCs - Part 3
  5. SmokeLoader IOCs - Part 7
CERT-UA Loader SmokeLoader UAC-0006
Добавить комментарий