Исследовательская группа Zscaler ThreatLabz недавно обнаружила кампанию вредоносного ПО, нацеленную на пользователей, подающих заявки на проездные билеты в Таиланд. Конечной полезной нагрузкой многих таких атак является AsyncRAT, троянец удаленного доступа, который может использоваться для мониторинга, контроля и кражи конфиденциальных данных с машин жертв.
Indicators of Compromise
IPv4
- 34.71.81.158
Domains
- invoice-update.myiphost.com
URLs
- bit.ly/Thailand-passport
- onedrive.live.com/Download?cid=6BCBE135551869F2&resid=6BCBE135551869F2!168&authkey=AGoYtbf1Lb5VjFg
- ec2-34-229-64-131.compute-1.amazonaws.com/New/Testavast+denf.txt
- ec2-34-229-64-131.compute-1.amazonaws.com/New/Nod.txt
- ec2-34-229-64-131.compute-1.amazonaws.com/New/Avast.txt
- ec2-34-229-64-131.compute-1.amazonaws.com/New/Killd.txt
- ec2-34-229-64-131.compute-1.amazonaws.com/SV/Malawer/1.bat
- ec2-34-229-64-131.compute-1.amazonaws.com/SV/Malawer/1.ps1
- ec2-34-229-64-131.compute-1.amazonaws.com/SV/Malawer/1_powerrun.vbs
- ec2-34-229-64-131.compute-1.amazonaws.com/SV/Malawer/PowerRun.exe
- ec2-34-229-64-131.compute-1.amazonaws.com/SV/Malawer/admin.ps1
- ec2-34-229-64-131.compute-1.amazonaws.com/SV/Malawer/admin.vbs
- microsoft.soundcast.me/Run/task.txt
- microsoft.soundcast.me/Run/SecurityHealth.exe
- microsoft.soundcast.me/Run/SecurityHealth.exe.manifest
- cdn.discordapp.com/attachments/921529408060289114/947221997325258772/qr_thailand_pass.zip
MD5
- 9f0a23cf792d72d89010df5e219b4b12
- e2da247426a520209f7d993332818b40
- 8f30215a81f2a2950fd5551d4f2212ce
- e8e4ea0f80c9ff49df07e9c1b119ba2a
- 25ed250f143d623d0d41bd9123bcc509
- 4e6d695ed0559da97c9f081acf0892e4
- 2922a998d5b202ff9df4c40bce0a6119
- b64ac660f13b24f99999e7376424df2d
- 984f6bd06024f8e7df2f9ec9e05ae3d2
- a5dfd5b75db6529b6bd359e02229ad1d
- 9c0bdb129084a6c8fce1a1e9d153374b
- 7ec50ec3091ff38eb7c43e2a8a253bc9
- ae29fc1878f3471bb196ba353b3daf9d
- 44314f46a2beb1cc20a0798533f0913e
- 878b1aae24a87bc0dbce537336878b5e