Armageddon APT IOCs

security IOC
Опубликовано

CERT-UA получена информация о факте рассылки электронных писем с темой "Щодо проведення акції помсти у Херсоні!", содержащих вложения в виде файла "План Херсон.htm".

HTM-файл обеспечит декодирование и создание на компьютере жертвы файла "Herson.rar", содержащего файл-ярлык "План підходу та закладання вибухівки на об'єктах критичної інфростурктури Херсона.lnk". Упомянутый LNK-файл обеспечит загрузку и запуск HTA-файла "precarious.xml", что приведет к созданию и исполнению файлов "desktop.txt" и "user.txt". В результате, на компьютер будет загружена вредоносная программа GammaLoad.PS1_v2 (имплементирован механизм изготовления снимка экрана и его отправки на сервер управления).

Indicators of Compromise

IPv4

  • 194.58.121.198
  • 92.53.116.145
  • 216.128.131.233
  • 66.42.95.123

Domains

  • sendmail.website
  • a0671524.xsph.ru
  • a0667987.xsph.ru
  • qiwardos.ru
  • nitikora.ru
  • milotraf.ru
  • nikotod.ru

URLs

  • http://qiwardos.ru/get.php
  • http://qiwardos.ru/index.php
  • http://a0671524.xsph.ru/mo/faicon.ico
  • http://a0671524.xsph.ru/bandage/precarious.xml
  • http://a0667987.xsph.ru/zsu/faicon.ico
  • http://a0667987.xsph.ru/preparations/rejection.xml

Emails

  • military-ukraine@sendmail.website
  • coyote@sendmail.website

MD5

  • 4c434fafbdb64ee9c56a4e3007b1ef33
  • f94693b8def27e4555dc7ac6a25260d0
  • a367898f46c7a8ce0ba6d6e9690cc4b7
  • c3ad33e72e37f2f9ee1f901a9dab3660
  • 8993c593f70cc133dc70198052517c57
  • d9041a202ef19a778817aed83f547010
  • c3c41fda9f83f579f3912ca4e769b634
  • fd49ac4b68e63ef4c44a08c05157b520
  • 9e472931556b6f6e3c1e50d719df83f9
  • 76bdfe083b9038ab35757ba8cfac9a97

SHA256

  • b1bc659006938eb5912832eb8412c609d2d875c001ab411d1b69d343515291b7
  • f9b68f9a3e41bafa612bcadd6e4c5ef75870549164e50f6b7ec55d1edad90674
  • 94f4b54060f50523380082879ac262e67477acf5656aec3912078e1d756e9f1f
  • 370da0474afb87623e070b83834472c307089533796940fb8ebbe9c8cf048c93
  • 95eb176f66026aef579d515a5d2563dc2310eff038c68807c433b3418699f902
  • 000696f213103798767ad0ea47acf60d9d475c45de4584a0e8625067c1b89ba7
  • 3a0796096af51af33a28361670e9af8a9791b04c83025c0a904a36b3d1962c2e
  • 215d79d31ec6c4b008cf585dcf90007487b636229284b9ad924f52206c46a8a7
  • f2f4dec274f0d7bd26c0d39e1cffc4b38b1e1919dfca6e20f754eddfa5931bbf
  • 7a36935f624855f21c03b17b9b6e652f9b400aec79f6d1f221ef7380f2f9c02e

Похожие записи:

  1. Armageddon APT IOCs - Part 4
  2. Armageddon APT IOCs - Part 5
  3. Armageddon APT IOCs - Part 2
  4. Armageddon APT IOCs - Part 3
  5. FRwL APT IOCs
APT Armageddon CERT-UA
Добавить комментарий