Главная страница » IOC
0
2 года
IOC

RomCom Backdoor IOCs - Part 2

security

Телеметрия и исследования Trend Micro подтверждают, что бэкдор RomCom использовался в геополитически мотивированных атаках по крайней мере с октября 2022 года, а его целями были организации энергетического и водохозяйственного секторов Украины.

Trend Micro отслеживает кампании RomCom с лета 2022 года и с тех пор наблюдали эскалацию методов уклонения от обнаружения: Образцы вредоносного ПО не только регулярно используют VMProtect, чтобы затруднить ручной и автоматизированный анализ "песочницы", но и применяют технику двоичной подстановки в файлы полезной нагрузки. Это добавляет в файлы значительное количество оверлейных байтов, увеличивая размер вредоносной полезной нагрузки (мы видели файл размером 1,7 гигабайта). Кроме того, недавно была добавлена новая процедура, включающая шифрование файлов полезной нагрузки, которые могут быть расшифрованы только в случае загрузки определенного ключа для активации полезной нагрузки.

В дополнение к этим техническим приемам уклонения, RomCom распространяется с помощью сайтов-приманок, которые часто выглядят легитимными и используются в узком таргетинге. Это затрудняет автоматическое блокирование таких сайтов-приманок с помощью систем веб-репутации. Void Rabisu использовал рекламу Google Ads для привлечения своих целей к посещению сайтов-приманок, аналогично кампании, которая распространяла ботнет IcedID в декабре 2022 года. Ключевое отличие заключается в том, что если в IcedID таргетинг был более широким, то Void Rabisu, вероятно, выбрала более узкий таргетинг, который Google Ads предлагает своим рекламодателям. В кампаниях RomCom также используются высоконаправленные фишинговые письма.

На сайтах-приманках RomCom жертвам предлагаются троянизированные версии легитимных приложений, таких как чат-приложения, например, AstraChat и Signal, программы для чтения PDF, приложения для удаленного рабочего стола, менеджеры паролей и другие инструменты, которые обычно используются системными администраторами.

Indicators of Compromise

IPv4

  • 94.142.138.244

Domains

  • 4qzm.com
  • advanced-ip-scaner.com
  • advanced-ip-scanners.com
  • astrachat.us
  • astrachats.com
  • chatgpt4beta.com
  • cnealsoftware.com
  • combinedresidency.org
  • convertmypdfnow.net
  • cozy-sofware.com
  • decropingsof.com
  • decropsoftware.com
  • devolrdm.com
  • devolutionrdp.com
  • dgtlocean.com
  • dirwinstat.com
  • gangstergo.com
  • gllmp.com
  • gotomeet.us
  • hexactor.com
  • hl-analytics.net
  • icarusoftwares.com
  • kagomadb.com
  • keepas.org
  • kee-pass.com
  • keepasss.info
  • lnfo-messengers.com
  • mansoftwarecoz.com
  • mypodsblocked.com
  • nerobiom.com
  • nexiandevel.com
  • notfiled.com
  • npm-solar.com
  • optasko.com
  • pass-shield.com
  • pdf-filer.com
  • pdffiller-review.com
  • pdffreader.com
  • pdfilier.com
  • pdfillers.com
  • putmastering.com
  • rdpcamp.com
  • rdp-devolutions.com
  • readerpdf.net
  • remsoftman.com
  • singlesign.online
  • singularlabs.org
  • sparklingprice.com
  • startleague.net
  • vectordmanagesoft.com
  • veeame.com
  • wexonlake.com
  • winscpn.com
  • wormakejean.com
  • wveeam.com
  • you-supported.com

SHA256

  • 0501d09a219131657c54dba71faf2b9d793e466f2c7fdf6b0b3c50ec5b866b2a
  • 116ec1c306a2ee93ad5371d189bdbc15b23588be0322622b329f763c7f8622f1
  • 244885707e1ccfb02160ae60d749bafcfbcfd1d2572afed9113010609cd43820
  • 2ba51d7e338242bc6a8109317b91dd13137e296693c535ceacc1288775acc81f
  • 3b26e27031a00a32f3616de5179a003951a9c92381cd8ec552d39f7285ff42ee
  • 3e293680e0f78e404fccb1ed6daa0b49d3f6ea71c81dbaa53092b7dd32e81a0d
  • 3e7bf3a34c4dfa6abfce8254f213cbc98331504fa956b8d35e0961966593034f
  • 45bfc3928dd2bb3f7ed388ddd0e109b93aebe3dd0e22609d743673c6c0425732
  • 555ef671179b83989858b6d084b3aee0a379c9d8c75ca292961373d3b71315f8
  • 597dd1e09bd23cd18132ce27a731d0b66c78381e90292ece0f23738773743a7c
  • 615bfe8f7f3903bb380f59bca6339d1b37125cc9d303f935e7197ff0706fded7
  • 6284fb51d5f94d20bcd98a56a69e02ffc45c2991e1f88f6ba97e7d2a9674332c
  • 65778e3afc448f89680e8de9791500d21a22e2279759d8d93e2ece2bc8dae04d
  • 6a3a0606293941ce9c3cebe0a3e63d7cdc6fb92fd4507d99b14c7675dd29ab40
  • 6d3ab9e729bb03ae8ae3fcd824474c5052a165de6cb4c27334969a542c7b261d
  • 7424de0984159e0c01da89a429e036835f253de35ec2bdade0b91db906ec54ec
  • 7c72e817069bc966a8166a701da397508d44fe9da0e72a047fcf3d694eee81e9
  • 8b27b0482330d0cb38ac7b578576de5658faeba242d2abc9d94289271e2d16b3
  • 8d805014ceb45195be5bab07a323970a1aa8bc60cdc529712bccaf6f3103e6a6
  • 916153d8265a2f9344648e302c6b7b8d7e1f40f704b0df83edde43986ab68e56
  • 96d1cd0a6038ee295b02f038a30ac756bae0ee5ae26f5a64637adf86777d7e14
  • a552b0b1c948e0ef4e51088f059c280a967ff40bf93ff9d62ebeb74e80f36fc5
  • ac1fce0ca42f05d54dfbf96415d558f9de1c87abc940531a051536d97bee5c32
  • ad39ad35084d8339744299def3af979e666add8103ebd706de3cd1430d3ca8a1
  • ca0ccf331b2545102452e3b505a64444f50ab00d406564dda6ea5987f0194208
  • dd65c3ad7473f211ae661ccc37f8017b9697dfffb75d415cb035399c14bc1bc9
  • e58fcd4a8d13cb1847f08fd3db6f86473c589f935bcf76ff2837bfac3e8f8f6e
  • e7914f823ed0763c7a03c3cfdbcf9344e1da93597733ac22fe3d31a5a4e179aa
  • ff8eccca561e07a4d3b1a229b307cd1e787fe9fe21a781f361e3f01750def89c
Комментарии: 0
Похожие записи
0
1 день
IOC

Поддельные репозитории GitHub, созданные с помощью искусственного интеллекта, способствуют распространению SmartLoader и LummaStealer

security
Киберпреступники используют поддельные репозитории GitHub для распространения вредоносных программ. Эти репозитории представляют собой легитимные инструменты, такие как игровые читы, взломанное программное
0
2 дня
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает