RomCom APT IOCs

security IOC

11 июля компания Microsoft выпустила бюллетени безопасности, устраняющие 132 уязвимости.

RomCom APT

В июльском Patch Tuesday компания Microsoft также устранила 6 уязвимостей "нулевого дня". Для справки ниже перечислены уязвимости "нулевого дня":

  • CVE-2023-32046 - уязвимость повышения привилегий платформы Windows MSHTML
  • CVE-2023-32049 - Уязвимость обхода защитной функции Windows SmartScreen
  • CVE-2023-36874 - Уязвимость повышения привилегий службы отчетов об ошибках Windows
  • CVE-2023-36884 - Уязвимость удаленного выполнения кода в Office и Windows HTML
  • CVE-2023-35311 - Уязвимость обхода защитных функций Microsoft Outlook
  • ADV230001 - Руководство по вредоносному использованию драйверов с подписью Microsoft

Из них особый интерес для отдела исследований угроз (TRU) компании Qualys представляет CVE-2023-36884. Microsoft приписывает эту уязвимость агенту угроз под именем Storm-0978/RomCom. Кроме того, в силу характера этих уязвимостей велика вероятность того, что угрожающий агент объединит CVE-2023-32049, CVE-2023-35311 и CVE-2023-36884.

Что интересно, эта группа угроз, приписываемая российскому региону, использует хитроумную тактику, чтобы оставаться незамеченной. Она использует выкупные программы, что, возможно, помогает ей оставаться незамеченной в своих реальных шпионских целях. Еще более удивительным является тот факт, что для этой уязвимости не было выпущено никаких исправлений.

Еще одним интересным моментом, который вы увидите в разделе анализа уязвимостей, является близкое сходство с ранее выпущенной уязвимостью Follina, которая затрагивала пакет продуктов Microsoft Office.

Indicators of Compromise

IPv4

  • 104.234.239.26
  • 66.23.226.102
  • 74.50.94.156
  • 94.232.40.34

SHA256

  • 07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d
  • 1a7bb878c826fe0ca9a0677ed072ee9a57a228a09ee02b3c5bd00f54f354930f
  • 3a3138c5add59d2172ad33bc6761f2f82ba344f3d03a2269c623f22c1a35df97
  • a61b2eafcf39715031357df6b01e85e0d1ea2e8ee1dfec241b114e18f7a1163f
  • e7cfeb023c3160a7366f209a16a6f6ea5a0bc9a3ddc16c6cba758114dfe6b539
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий