GhostWriter APT IOCs - Part 2

security IOC
Опубликовано

CERT-UA обнаружен PPT-документ "daewdfq342r.ppt", содержащий макрос и изображение-миниатюру с эмблемой Национального университета обороны Украины имени Ивана Черняховского.

В случае открытия документа и активации макроса на ЭВМ жертвы будет создан исполняемый файл "%APPDATA%\Signal_update_6.0.3.4\glkgh90kjykjkl650kj0.dll", а также файл-ярлык, предназначенный для запуска последнего.

Файл "glkgh90kjykjkl650kj0.dll" классифицирован как вредоносная программа PicassoLoader, которая типично используется группой UAC-0057 (GhostWriter) и предназначена для загрузки изображения, его дешифровки и запуска полученного пейлоада. При этом, в последнее время вместо AES применяется RC4.

В рассматриваемом инциденте PicassoLoader обеспечит загрузку и запуск .NET-дропера, который осуществит дешифровку (AES) и запуск исполняемого файла "PhotoMetadataHandler.dll", который, в свою очередь, выполнит дешифровку и запуск Cobalt Strike Beacon на ЭВМ жертвы.

Персистентность запуска упомянутого DLL-файла обеспечивается либо путем создания запланированной задачи ("MicrosoftEdgeUpdateTaskMachineUA%GUID%"), либо за счет создания LNK-файла в папке автозапуска ("%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Mcirosoft Edge Update.lnk").

Даты компиляции программ и создания (модификации) PPT-документа свидетельствуют о том, что атака инициирована не позднее 09.06.2023. Серверы управления вредоносной программой "спрятаны" за Cloudflare.

Indicators of Compromise

Domains

  • bourns.space
  • yotsubasociety.website

URLs

  • https://bourns.space/p/covers/assets/images/lee-leopard.jpg
  • https://yotsubasociety.website/app/yotsuba/edit
  • https://yotsubasociety.website/app/yotsuba/publish

MD5

  • 23fba3c3ff0c635d340a644ef75b0e23
  • 4213d8161b9a793a30e218f9a67fa87f
  • 6e556f6d3f74a4d70b934a0b9a8e3f5f
  • 70a624c4e8db4b88a35711a194c79c29
  • 8ab2a5ebacade6a32485405f1ab4b2cc
  • 911956832343545d7bc7044cf1cbae5a
  • adf00c9e47cc724dd4ff1f9af14401b5
  • c35545b0bfbd0881bc761e8a7dfddcb2
  • d752f198edcbe8c3483525ca466768c8

SHA256

  • 35d1e819d2ac2535f0aa9e2294570135f37519386872c415e326146e931b8fb9
  • 48535a2799d643f082f44d960524de85e866b419d797cf30e0727a183c916b57
  • 57143e3d496ca0e417b6da12e037eab108177624340d329ec1100d5bf7f85d3b
  • 6a08f75cadd6913511cae345d46ee8eecb39570cc00fef676034a922925e14b9
  • 84ce16108cb25d85d86bc86c9f10031db073d682e292ab30b2cf155f7f3abd8d
  • 991a19fb00cda372dd1ce4a42580dc40872da5c5bfbb34301615f3870ea3fb58
  • c9c31f8e77f61d3323733b3c0dfa4d0cef4715c8aedb0e662088b49834b274ee
  • f7c58e785c99f99feaa6a28f6f79cdd48ebbcbda3b5c2736ba566d23320338e5
  • fe9959c6b04740491135a043ed568d1df2a452c3ef64362b0ef53c1e97825f7e
Похожие записи:
  1. Cobalt Strike Beacon IOCs - Part 3
  2. Cobalt Strike Beacon IOCs - Part 4
  3. FRwL APT IOCs
  4. Распространение электронных писем с поддельным сканером от имени CERT-UA
  5. Remcos RAT IOCs - Part 7
CERT-UA Cobalt-Strike Beacon Ghostwriter PicassoLoader
Добавить комментарий