LONEPAGE Malware IOCs

security IOC
Опубликовано

CERT-UA, начиная со второй половины 2022 года отслеживается активность, осуществляемая в отношении государственных организаций и представителей средств массовой информации (редакторов) Украины с целью шпионажа.

Неустановленными лицами с помощью электронной почты и мессенджеров распространяются файлы (.HTA, .EXE, .RAR, .LNK), запуск которых приводит к поражению ЭВМ жертвы вредоносной программой LONEPAGE. Упомянутая программа представляет собой PowerShell-сценарий (обычно, в виде JavaScript или VBScript файла), осуществляющий загрузку с сервера управления TXT-файла ("upgrade.txt"), выполнение PowerShell-команд, содержащихся в файле, и передачу результатов на сервер с помощью HTTP POST запроса.

При этом, на пораженную ЭВМ могут загружаться вредоносные программы "THUMBCHOP" (стилер для Chrome и Opera), "CLOGFLAG" (кейлогер), а также TOR и SSH для создания скрытого сервиса и/или построения обратного соединения и, таким образом, создание предпосылок для интерактивного несанкционированного удаленного доступа к компьютеру. Во время реагирования на инцидент также были обнаружены образцы вредоносных программ, разработанных с использованием языка программирования Go, а именно: SEAGLOW и OVERJAM

Кроме того, известны случаи горизонтального перемещения с пораженной ЭВМ, а именно, сканирование локальной вычислительной сети, компрометации компьютеров привилегированных пользователей и получения доступа к корпоративным информационным системам.

В течение 2022 - 2023 годов упомянутой группировкой получен несанкционированный удаленный доступ к нескольким десяткам ЭВМ в Украине.

Минимизации реализации описанной угрозы может способствовать, среди прочего, ограничение возможности запуска на ЭВМ легитимных компонентов: wscript.exe, cscript.exe, powershell.exe, mshta.exe.

Indicators of Compromise

IPv4

  • 156.38.245.115
  • 179.48.251.182
  • 217.12.218.107
  • 45.148.121.6
  • 62.210.204.94

URLs

  • http://156.38.245.115/oHYgdtRwKJ/page69/upgrade.txt
  • http://156.38.245.115:38104/page69
  • http://217.12.218.107:25928/page121
  • http://217.12.218.107:25928/page147
  • http://217.12.218.107:30139/aMPnGqjRPSQIOZQG/page147/upgrade.txt
  • http://45.148.121.6:32341/slideshow.bat
  • http://45.148.121.6:32341/slideshow.php

MD5

  • 11bc275d9dc476829c1a36ee89506db5
  • 179baa523f8ad63b492bacc8acabaf04
  • 196d162f19ef28ae5afca4baafa38cfb
  • 2077689e5b9eb862add8ef779738c469
  • 286e04a218a6df2b4426f2b986971b36
  • 3330e620101b6ecbfa7c121b9ed2590e
  • 46410bb9e3ed9bf5c228d6da4089866c
  • 663bc28526d059a14a23a6a5945a8f58
  • 7581ec90e1995586f0f86f62eb61b305
  • 96120f299054be502d01ccdb7c5083a3
  • 9ba6ecad25a0b5666454aa8276235a83
  • a255c0f591c9a4ddddfb700d8937288d
  • a74244d531c0a11259b5b4cd9bcc7a7e
  • a848e813ffc0040c9392c213eb8f6102
  • abb9140e98eaf1b2729ace09d77169b6
  • af73d4d0361b66dc54f3c25db6351111
  • b1041363732d49fcabc39beeda27717c
  • b454fe65b817f88042f00de97528530b
  • b6f0d098d757fcc81f77534aebd3cf1b
  • b8014ca4b86015ceb6024d39c72f33ea
  • b96418ef58218d762836fcb17d14ea4d
  • d565d3d36651d3be3cd3e8df9e0bd6c2
  • e70218a98dc74d5d7cda2f6a756e1f25
  • ed0a9320189bdeb340c9afbf02e0e2d3
  • f969edd0027b535b085f4642072e241b

SHA256

  • 00b7e464b190dc3ee8847e214857b83180f948b5c887466f09bb91a3352b889a
  • 03e10e3dd7d8ba535c54cd4e38bc9815938df0460120fa1d6d7614d05a1e824f
  • 083a8a7ceceab777e47a49595e583c7137173b23318914399ad9dbab15a4c29a
  • 0c0b3025dcd6d5bb96c83305cfa26795b4ec956ba62661f8e67b477542268229
  • 36555640516b1ed087638443cbab08a368192995b06284396143e5d83d7cf96c
  • 3a1437355c222bf4262dfcf76718cf35789fdab7ef424ade0651046435b5ddc5
  • 3cf76b9dd4ed21168a3c2aaab158a65df4558d4557d47383ecd3a55df64e5c3b
  • 4453bf8cd981b35f8defe5c8392d6b23cea730877c047d99e11535b20da0caca
  • 51cd4682f6152f0a9f915c6bb75991cbf0140da8e39f903a931f39a1b19fd542
  • 55d8b1951e1ce8b3aea07ee3a3fb9f0e8f0cd345d08096806ddad9a6691510ec
  • 584d03057a739240eede6384dc3a1537dc1fc896cc9c506ab1a281c195393ae2
  • 7255941febd9e2b398e14b4b8b1cbbd7b68908f5c73ecbfafc4c48d68e0e1d6a
  • 75a2b04082b3d0178b98da2ae14265d0169419a76c7c79cc0abd3c451904c61a
  • 77c1e74a2b0bca42bf30ed539663e6b5db2aa18dcdea55fd92eb6273ef1362a5
  • 786f4b1a64160077d771702b5da2e559425591b2f9a3fcf9d6de76858151c773
  • 89b0868fccc4e64a710c0a85a84e23f4788b7474c8ce847a1fef9f1616dd69fa
  • 8f2a5eeac887a4a9acb30b25c9d2bf4405c6d0c0207ebd7886e95988c93a8a5a
  • 907bccf7ce8e744680364e3e137365ce4d8ebe9d19c2c3e2342794747c5dd292
  • a7317dfa2e5fd9bc944a84cd7fd72d943377b567cd186eeea2af5066b28ff0a9
  • b9b5f81d36e8e514ffccf9b85c0c61e76322a279a7f5a67821b5396b9beaff3a
  • bcfb1cf90d507fbbc52217d35d84d3dd3c55bcc3cf825ef35e4b829525544b7c
  • e04ba69e4d4935b30c3325679328b1f12cbf1eb2c5b739d717487d20bd667d12
  • ec87ed83f6b1b5cbd40355a5e5b12a0fa9232f1264243998c0f4ae9f1ab03faa
  • f0bdcb507aaf9af91bc69511a4873462e9b2b07c173c71d9c4c622a2754f5d5b
  • fb1312e70cd1766928550985782eb7b89d78cc93cfc66bafaa12287db2f8cf56

Похожие записи:

  1. CrescentImp Malware IOCs
  2. Bisonal Malware IOCs
  3. Vidar Malware IOC
  4. MetaStealer Malware IOC
  5. CryptoShuffler Malware IOC
CERT-UA LONEPAGE Malware
Добавить комментарий