Remcos и AsyncRAT IOCs

remote access Trojan IOC
Опубликовано

В условиях постоянно развивающегося ландшафта киберугроз авторы вредоносных программ постоянно ищут новые пути для эксплуатации ничего не подозревающих пользователей. В операционной системе Windows реализована мощная функция поиска, позволяющая быстро находить файлы, папки и другие объекты на компьютере. Одним из менее известных аспектов этой поисковой функции является обработчик URI-протокола "search-ms", который предоставляет расширенные возможности поиска для выполнения локального поиска.

Центр перспективных исследований Trellix обнаружил новую технику атаки, использующую обработчик URI-протокола "search-ms". Хотя нам уже было известно, что злоумышленники используют обработчик URI-протокола "search-ms" через вредоносные документы, проведенное нами исследование позволило выявить усовершенствование их подхода. Мы обнаружили, что злоумышленники перенаправляют пользователей на сайты, которые используют функциональность "search-ms" с помощью JavaScript, размещенного на странице. Эта техника была распространена даже на HTML-вложения, что расширило зону атаки. В своих исследованиях мы изучали не только возможности протокола "search-ms", но и протокола "search". Протокол "поиск" был создан в операционной системе Windows Vista с версией SP1 и более поздними версиями. Операционная система использует протокол "поиск" для запуска приложения поиска на рабочем столе по умолчанию. Используя возможности обоих протоколов, мы успешно применили функциональность поиска в различных файлах сценариев, включая Batch, Visual Basic, PHP и PowerShell. Это свидетельствует об универсальности и эффективности данной техники атаки, использующей возможности обоих протоколов поиска для осуществления вредоносных действий.

В ходе атаки с использованием обработчика URI-протокола "search" / "search-ms" злоумышленники могут создавать обманные электронные письма, содержащие гиперссылки или почтовые вложения, которые перенаправляют пользователей на скомпрометированные сайты. При посещении сайта вредоносные Java-скрипты инициируют поиск на удаленном сервере с помощью обработчика URI-протокола "search" / "search-ms". Результаты поиска удаленных вредоносных файлов-ярлыков отображаются в Проводнике Windows под видом PDF-файлов или других доверенных значков, как и результаты локального поиска. Эта хитроумная техника скрывает факт предоставления пользователю удаленных файлов и создает у него иллюзию доверия. В результате пользователь с большей вероятностью откроет файл, полагая, что он из его собственной системы, и неосознанно выполнит вредоносный код.

Indicators of Compromise

IPv4

  • 79.110.49.162
  • 111.90.150.186

Domains

  • balkancelikdovme.com
  • dhqid3b4b9u6ecv6jcxva0f.webdav.drivehq.com
  • dhqid45r064utd5gygt2jy6.webdav.drivehq.com
  • dhqid5neul4wc9w74pynlrs.webdav.drivehq.com
  • dhqid9pjapv63d8xvji8g4s.webdav.drivehq.com
  • dhqidctjo3ugevk9u5sev1r.webdav.drivehq.com
  • dhqidee98lja03f52atdmii.webdav.drivehq.com
  • dhqidfvyxawy0du9akl2ium.webdav.drivehq.com
  • dhqidgnmst61lc8gboy0qu4.webdav.drivehq.com
  • dhqidhhva53s2qvmxwxtkrm.webdav.drivehq.com
  • dhqidhx2c2f2oc8lccg38tx.webdav.drivehq.com
  • dhqidk9oi3yuhf43sb05xgn.webdav.drivehq.com
  • dhqidlnsxx2qigisdvn7x2f.webdav.drivehq.com
  • dhqidlu10mna2tuk2qfoaew.webdav.drivehq.com
  • dhqido7gy8hiehwprjhli16.webdav.drivehq.com
  • dhqidoakoljbb9jnbssiau2.webdav.drivehq.com
  • dhqidqot3k8sh7ve2ns9nry.webdav.drivehq.com
  • dhqidvdosqx8tu0vq1h1d1g.webdav.drivehq.com
  • dhqidvjn6bfvi00cb0834a3.webdav.drivehq.com
  • dhqidvooruijtwg0lyucl5s.webdav.drivehq.com
  • dhqidwhws4rkw80f312lkpm.webdav.drivehq.com
  • pdf-readonline.website

Domain Port Combinations

  • gainesboro.duckdns.org:30277

URLs

  • http://172.245.244.118/home.html
  • http://172.245.244.118/Quote.html
  • http://internetshortcuts.link/VdXiIRQo/payload.iso
  • http://seductivewomen.co.uk/invoice44201.html
  • https://bridgefieldapartmentsapp.ie/EX
  • https://bridgefieldapartmentsapp.ie/EX/index.html
  • https://bridgefieldapartmentsapp.ie/home.html
  • https://cargopattern.shop/home/home.html
  • https://cargopattern.shop/page.html
  • https://chemaxes.com/Invoice-Payment.html
  • https://designwebexpress.com/Invoice.html
  • https://designwebexpress.com/Invoice_3211.html
  • https://designwebexpress.com/Invoice_3221.html
  • https://designwebexpress.com/Invoice_4221.html
  • https://designwebexpress.com/Invoice_5221.html
  • https://designwebexpress.com/Invoice_6211.html
  • https://efghij.za.com/Invoice_662243.html
  • https://efghij.za.com/Invoice_72638.html
  • https://efghij.za.com/Invoice_898277.html
  • https://fashionstylist.za.com/Invoice_0020317.html
  • https://fashionstylist.za.com/Invoice_82637.html
  • https://fashionstylist.za.com/Invoice_898277.html
  • https://landtours.rs/BB/index.html
  • https://lfomessi.za.com/home.html
  • https://reasypay.sa.com/Invoice5691.html
  • https://shorturl.at/asAFO
  • https://transfer.sh/get/Ja9CVWbDzf/invoice.zip
  • https://www.cttuae.com/ems/page.html
  • https://www.shorturl.at/asAFO

SHA256

  • 0764a24f94d829a625cca37f92863a84553db77469b68eadf875e73fcf0d3036
  • 09dc1f4a21f9b36a0ceeef791d2bf3463299d172712943139ace33d476d7d7c2
  • 0b28a2dcb365ac02b7d6c3928d5a1cfdd5ed669206eb176ab65ebb6084b58545
  • 1598486e69f94e221dcbd02b10bb33352baf5886db9c06475470159ab16eadbd
  • 15f8dd0880d76be36de65dd8412d7171d2cc00c35d3461452dfdae2f657aaf31
  • 188baeb6bf2b009adc2efb648b068be71d5b55d1d11e000c473b429f3dda4a86
  • 19cd76a94c55380cc6b053b05eb8896fa1329f03d65a7937225196c356bb0c6a
  • 19e75218473b112e65cec4c2c5afd0c3cc6b4fb8f847127018e0815bd64b6480
  • 1b004980738e868605f88d6b764f72d0d6c50fddea3a7bdf4508ff3057501562
  • 1c450bca78ecf77fc5c9b03ced93f5410f03804fcbf17c9c5e584770eec03403
  • 25f616a8bce8578219bc884a64d1a3bc60ec87f07cdff8da3c386ae5b49445a9
  • 2b84ab32982a3f9cc03dd4f020751dcaaf8ad5ef32d0e7975a0b1d17045ee07e
  • 2da9b5bef5ced856c6367e990dc2bf0424ad2c551016c3f1d2068b9284310e53
  • 31038f7ee74463661addd7378b26076898e20d19e69f672f829af07b8ff816a9
  • 388f736c54cb1e57d5877d35da5ecdcf46b88ad2e44ca5d2ecffa0dcf0e1b8d9
  • 3d87877bfb6da476da1f51410416bef22cc216d941c79268f6de17d8dde1c0b8
  • 3dfc781c1b656925b91a22b48b85b6ce2bf8f9cb9c1288be6ec3b760f6f7402d
  • 40f99a875efa382cc0cae003c7b3b0519a7fcaa10a95989103b1e3e2bb20832a
  • 41960d1cd749289ff40a1c92970706ead76f73fb3b61276a2f34a7ac38f989c6
  • 437b82a5533485ce26a8b983cffa787e629120422e49b28a2608337158c883fc
  • 45cd3d4ec91bf68bc975d99d90612e459aeb4a0f31321a440d7d41fcdea798f3
  • 47097f706f72ac8979bfd846d779f3c520f47241b83563dbbcf0e4df94805a21
  • 485d446c5892b931c0a3a238dca84bebb787052c877deb73f02ae5ee5632de9d
  • 4867eebb0f6bca553c7d50e878e3cb19f7471c1c89cbd85f49b6d50f7a44e779
  • 4c1cb32e0a142d55997a55bfc239e4b5b31a6e021014d023d5ff9787948490df
  • 4d8ff026a14c03fc7fce40fe5bb9c287320f66102693e74e40a48247999f4a0a
  • 4daafeb8ae95460be3ef93577983db33cca28ecb67fff9b958a7f71ae17504bf
  • 4f8ba8eec38e117fa323bc24074993a7f1cc31c5ce112f9c6696c724628f53dc
  • 52cebb58ec92cf411ea8482502d8aea3580ded02edc1482609283e0dff541dec
  • 540744100c8a0eba6c4d24fcee5df40a274ecd51f33c41e11dbe482bd32d271d
  • 56a2692cbde566ca149ef196f9bf4f843839f36ebfdb8acd47acaf2cd01703e9
  • 58addf5e77b1dd45ead377c2a8d52b12a0db4edbc607f17b650c27428e24bbfd
  • 597f58f1ec035d553dc5f5e9e0d0d0ed656a2488f5f93c30bf528278b3d615a1
  • 5a47b18066d8dcd0fbc524f529002cf0a270d8394de928e8426fa06959a82704
  • 5b7fdc6714e6e2f7f91a1b895204d630561f1f1431636875f6a270f3db06a55b
  • 5be46ac9b6fd4d07db8710315b6fa8597464756005235472cf1562a0398921bf
  • 5c31f5cfa003b1f745eb5019d76aa43f06a7d46c6403eeb2deabd44ee1a1a97a
  • 5d7e304d77bedb970a1c9a5b3aa6f5c4252825c9c0a94fe60ec56a0f1b2664b5
  • 6643aba0f5318fe279c1cae871ec32540b65265a68fb98aedae5a6fc0707b3c7
  • 6e7f4d594ee4f5d5f08321ede7c32e51d72acbd0700f37c621f9145d8c86309d
  • 72a79351d602ce6a1d0267bcd6d57c17cd8adc44c78197138cc3be5f4100b5b6
  • 7316651d2e38599d6e46a1ac52dff4eee7ae16f22e87cd244efb9a6ed748f358
  • 776d7ce582c1e3af65b60073986c78da394cbbab1bf6b83a6c0d736c58d33758
  • 7a69202cb54dd828736d63dae6b948fcef815658859f1d10220727d242eb6fd4
  • 7c1aa45ce5d254ffaefea8396128a55318bf937fbb3400b327f5dc528134730d
  • 811bba52ccee8ee0dce9f96f402a7c33427622276028bfb5e9d661130fa0e3fc
  • 83c8f1d9b27d9e455ad2602b1005f6837ac6040cf61acc3124f7179fd5894d27
  • 84d9b5159f937e5f1c98e221d23546fb38775097e983fb660144b4d4a8955582
  • 88aeb09dcc59858c9969b7ae1e0e2b58f0aa90b2d27a5edfe9cd82e602ed5952
  • 8a22b626a893ed2bcf9f63ffe5dcb2198f7d5dc991b5cec434e8b0f050ebbfeb
  • 901dd6b7fb5aae90840191eb5e0b8e2578503feaef93fd58b99a3314a2008b4b
  • 90202f38f8c813d2e09063432542573e3e7792b9111f2c56d12a451c9dd25b48
  • 904343ba2502d390b36403181e77192a62f31e98c87eb91906fbae27019b4c0d
  • 923c2a87d2321c3fb172d8998574f4d2695e6c8f5f5d5d568c26aefb5fe2d198
  • 9466d718154c26b8d003b99faff2a8868e2a26788e2946b68245e6dfe54da610
  • 964f9489714241afd3c422eb164fe96dfe72c12ab1d3f58613694f73bc7e839e
  • 9851dbd8a7e9b52e6745b7fb2ff854ce573d4a56be0cd0b700a30eca15e331e5
  • 98ab2fc44063d4e00f221e502419d9cca598fafb9e1e00352149327267604bc1
  • 9b5c8b82828c0aa94956671b3b9f2a6ec4f34a642d621938e86bffe9ce8b1acb
  • a2144301067495656391aaa937e47b27706d7db8ea7fd12412e7796196f91fe8
  • a3f5a76a50819ed856e22e690989f4e0b1bf6c88bab3d989868700cafa26c4b7
  • a531edd712eb0beabe14cb4e9ff91dc7635b743e71b6fdc20ec4c0247eccff62
  • a9f132dc514d4598a29d004a38e71d3a389e43b46149a36314d2f55e20e1ebb6
  • afff3e377a5c13a9707680ed926c15718eeb2d3b4d9dcf0993019b3766fc16aa
  • b26144c6e42601f1f1be09ece7c7fcb127637db3b953065648d1b1f371da7e8a
  • b4bded423c23574c5080f449d7c92c95b7aa480fedb756568d7280db3ec80cf0
  • b5b3747f8b0d11b5217a7a39c2420fb5a0c1044c82cbe9cba596dacf521a1a01
  • b8998dff4684d815538b1c57c3bba0f9914f8436fde99ddedc1e9b1e658dabcb
  • bbaf94b8be1c355328e5db962577b26ae73f9c3fbf81e6892019bffbf0513698
  • bd33b3aa897df0702913dbecd5ad2f7e63df11f4c2a7e461dad7f89abe218a45
  • c1cae7181fab03d16c8e10dbe0993319dca6597e2a2f28ba07014d64f996a1fa
  • c2f10c9556eecd1ffe67e763190c630262dfdb593245357283b02df2b4d696de
  • c519d06e252a1cf04f8fb38f20c76a39363e51bf31864bac638f662a698b244e
  • c7bdce98567809f96907d5a005ae7ff8295c63b9d93aa2a9846f903d688fd657
  • c8c5386fef1b6e45e02323f3a45b1e73b5d5be60a8a5f5ebe3b95bce77b03167
  • c91527db707347d7970e8197c8a11446c40d945adfb47eb68f666b02f56d8c22
  • ce3cfcc3cd86936aff5d43de6f0298cc8f0c5cfd7675d951dd23de53c3b8b154
  • cef2c8a040fe4d27843f601b76c13169fcc0f1d5c7f20e71e830967dffa89baa
  • d0b0f7842587afe7e23fc0218fd0a391996e72b1a804a6bfc33e97d9aecb6b2e
  • d626716fe7b26f3299438cca864216c3dacadaba145ce2decc2eededb3d4bf38
  • d6fcf0bcebcac7aa5e7b21b189dbd89f314f79871b770911a7d7b780207fb83d
  • d99ed5b55440cefd33047490937b9b729f6b7a93bcb7d3877d07391fbec2a13a
  • d9b56c6bf2c52116855a79e0008b6cfd7baef20e5af06ba142f774c8bf3b7401
  • db27ba01238ce49683b68bc9c2b925caac6008ae178d14c0dce4cce161bde746
  • dd28b5740c0fb2890a7579d75c65cf09a36ba5d9fc5df5c9581771e40420f35b
  • de0a1c35121a6e08bf07267aca78fb8fe9c46ead95ed1acebfb3a77b72e869b8
  • e3d4c11ea01f0b927bac052aa01e246cd2890445d848a7abe4b03882cccaaaf7
  • ea2c8d68c83a93b4f526d2bdb25aa20920b43b7985b9bb8a8109912b74adf1df
  • ed34e71d2fcae823b130a7e54a4404c15e34060e45c73654d16f34c799f91509
  • f0f932c136c2d34b0f9da7a83e1a2f87063ea2bce48d3a9af004189bf49d98d9
  • f21010eb8c0f2fd23c4ee941a394853597bfb90527f43f3c61bf6ce004b7f367
  • f214a42d57e88b6d77b036934cf93fb9c9126335925bdafc9bb8a326abe2d652
  • f2c577360fbf36859eeb194970f734810f2954493e5428d71add4edb6c11c4f1
  • f493a5a65d460bd53b05fde1ee5562db08e52c34989321a9bd09ecc5dc3f4d6d
  • f4b055a61d096e2f111bdaf7b171719188c02d74fa946dabdae0bbc72671d2db
  • f80caed9f1b4d71e61a2869c240206f55c44fb9075d4da283df0bcedf7a11d3a
  • fad17294a3fd687d75f49040c837af39ca2bb9ea84e022aa750e81ddc4cd1583
  • fc226deb01a8d15acf98fd6e9daa3d95b73687f46e9029523fd7e8fe8ad5fb83
  • fe6a8beb35f9550615cb3190b1b207bbe11c23a16248644c09ba0d007822c132
Похожие записи:
  1. Remcos RAT IOCs
  2. Remcos RAT (Remote Access Trojan) IOC
  3. AsyncRAT RAT IOCs
  4. 3LOSH Сrypter Malware IOCs
  5. Remcos RAT IOCs - Part 2
AsyncRAT Rat Remcos Remcos RAT Trellix
Добавить комментарий