YoroTrooper APT IOCs - Part 2

Cisco Talos с высокой степенью уверенности считает, что YoroTrooper - угроза, ориентированная на шпионаж и впервые проявившая активность в июне 2022 года, - скорее всего, состоит из выходцев из Казахстана, поскольку они используют казахскую валюту и свободно владеют казахским и русским языками. Этот агент также проявляет защитный интерес к веб-сайту казахстанской государственной службы электронной почты и редко атакует казахстанские организации.

• YoroTrooper пытается скрыть происхождение своих операций, применяя различные тактики, чтобы создать впечатление, что его вредоносная деятельность исходит из Азербайджана, например, используя выходные узлы VPN, локализованные в этом регионе.
• Целевой аудиторией YoroTrooper, судя по всему, являются страны Содружества Независимых Государств (СНГ). В период с мая по август 2023 года операторы взломали множество государственных сайтов и учетных записей, принадлежащих правительственным чиновникам этих стран.
• Результаты Cisco Talos также свидетельствуют о том, что помимо товарных и пользовательских вредоносных программ YoroTrooper продолжает активно использовать фишинговые письма, направляющие жертв на сайты для сбора учетных данных, что соответствует недавним отчетам компании ESET.
• Недавняя модернизация YoroTrooper свидетельствует о сознательном стремлении отказаться от товарных вредоносных программ и все больше полагаться на новые пользовательские вредоносные программы, создаваемые на различных платформах, таких как Python, PowerShell, GoLang и Rust.

Indicators of Compromise

IPv4

• 168.100.8.21
• 46.161.27.151

URLs

• http://168.100.8.21/file.js
• http://168.100.8.21/mshostss.rar
• http://168.100.8.21/png.php
• http://168.100.8.21/rat.js
• http://168.100.8.21/rat.php
• http://168.100.8.21/startpng.js
• http://168.100.8.21/win.hta
• http://168.100.8.242/0075676763663A2F2F31302E3130302E3230302E32/0075676763663A2F2F31302E3130302E3230302E32/
• http://168.100.8.242/0075676763663A2F2F31302E3130302E3230302E32/0075676763663A2F2F31302E3130302E3230302E32/index_files/2208281.pdf
• http://168.100.8.242/0075676763663A2F2F31302E3130302E3230302E32/0075676763663A2F2F31302E3130302E3230302E32/index_files/Az.pdf
• http://168.100.8.242/0075676763663A2F2F31302E3130302E3230302E32/0075676763663A2F2F31302E3130302E3230302E32/logout&_token=DFaH9AmHXbZKTApPbTvES2llxU6GZTl3
• http://168.100.8.36/+CSCO+0075676763663A2F2F31302E3130302E3230302E32++/+CSCO+0075676763663A2F2F31302E3130302E3230302E32++/logout&_token=DFaH9AmHXbZKTApPbTvES2llxU6GZTl3/
• http://168.100.8.36/0075676763663A2F2F31302E3130302E3230302E32/0075676763663A2F2F31302E3130302E3230302E32/index_files/file.php
• http://168.100.8.36/0075676763663A2F2F31302E3130302E3230302E32/0075676763663A2F2F31302E3130302E3230302E32/index_files/login.php
• http://168.100.8.36/0075676763663A2F2F31302E3130302E3230302E32/0075676763663A2F2F31302E3130302E3230302E32/logout&_token=DFaH9AmHXbZKTApPbTvES2llxU6GZTl3
• http://206.166.251.146/0075676763663A2F2F31302E3130302E3230302E32/0075676763663A2F2F31302E3130302E3230302E32/index_files/Az.pdf
• http://206.166.251.146/0075676763663A2F2F31302E3130302E3230302E32/0075676763663A2F2F31302E3130302E3230302E32/logout&_token=DFaH9AmHXbZKTApPbTvES2llxU6GZTl3
• http://46.161.27.151:80/c1.exe
• http://46.161.40.164/main.exe
• http://46.161.40.164/main2.exe
• http://46.161.40.164/resoluton.exe
• http://46.161.40.164/wwser.exe
• http://tpp.tj/285/file.js
• http://tpp.tj/285/png.php
• http://tpp.tj/285/startpng.js
• http://tpp.tj/285/uap.txt
• http://tpp.tj/285/update.hta
• http://tpp.tj/BossMaster.txt
• http://tpp.tj/T/rat.js
• http://tpp.tj/T/rat.php
• https://auth.mail-ru.link/public_html/home/files/login.php?email=1
• https://e.mail.az-link.email/
• https://e.mail.az-link.email/public/security/files/Az%C9%99rbaycan_Litva.jpg
• https://e.mail.az-link.email/public/security/files/login.php?email=1
• https://mail.asco.az-link.email/5676763663A2F2F31302E3130302E3230302E32/75676763663A2F2F31302E3130302E3230302E32/login.php
• https://mail.asco.az-link.email/Login.aspx
• https://redirect.az-link.email/
• https://redirect.az-link.email/5676763663A2F2F31302E3130302E3230302E32/75676763663A2F2F31302E3130302E3230302E32/Login.aspx&_token=oazjTiA255F2DIeYJjCXjE
• https://tpp.tj/main.exe
• https://tpp.tj/rightupsbot.txt
• https://tpp.tj/T/file.js
• https://tpp.tj/T/png.php
• https://tpp.tj/T/rat.php
• https://tpp.tj/T/startpng.js
• https://tpp.tj/T/sys.hta

SHA256

• 0a9908d8c4de050149883ca17625bbe97830ba61c3fe6b0ef704c65361027add
• 1828e2df0ad76ea503af7206447e40482669bb25624a60b0f77743cd70f819f6
• 1e350b316cbc42917f10f6f12fa2a0b8ed2fa6b0159c36141bce18edb6ea7aa0
• 30a969fa0492479b1c6ef6d23f8fcccf3d7af35b235d74cab2c0c2fc8c212ad4
• 37c369f9a9cac898af2668b1287dea34c753119071a1c447b0bfecd171709340
• 56fc680799999e38ce84c80e27788839f35ee817816de15b90aa39332fcc5aee
• 57d0336c0dbaf455229d2689bf82f9678eb519e017d40ba60a6d6b90f87321f8
• 5a6b089b1d2dd66948f24ed2d9464ce61942c19e98922dd77d36427f6cded634
• 8131bd594aff4f4e233ac802799df3422f423dc28e96646a09a2656563c4ad7c
• 832d58d9e067730a5705c8c307fd51c044d9697911043be9564593e05216e82a
• 8921c20539fc019a9127285ca43b35610f8ecb0151872cdd50acdaa12c23722d
• 93829ee93688a31f90572316ecb21702eab04886c8899c0a59deda3b2f96c4be
• 941be28004afc2c7c8248a86b5857a35ab303beb33c704640852741b925558a1
• 9b81c5811ef3742cd4f45b6c3ba1ace70a0ce661acc42d974beaeddf307dd53d
• a25db1457cf6b52be481929755dd9699ed8d009aa30295b2bf54710cb07a2f22
• a3b1c3faa287f6ba2f307af954bb2503b787ae2cd59ec65e0bdd7a0595ea8c7e
• a5d8924f7f285f907e7e394635f31564a371dd58fad8fc621bacd5a55ca5929b
• ab6a8718dffbe48fd8b3a74f4bcb241cde281acf9e378b0c2370a040e4d827da
• b4eac90e866f5ad8af37b43f5e9459e59ee1e7e2cbb284703c0ef7b1a13ee723
• B6a5d6696cbb1690f75b0d9a42df8cefd444cfd3749be474535948a70ff2efd2
• Da75326cfebcca12c01e4a51ef77547465e03316c5f6fbce901ddcfe6425b753
• E0c7479e36b20cd7c3ca85966968b258b1148eb645a544230062ec5dff563258
• E95e64e7ba4ef18df0282df15fc97cc76ba57ea250a0df51469337f561cc67d3
• Ed8c04a3e2d95d5ad8e2327a56d221715f06ed84eb9dc44ff86acff4076629d7
• F55b41ca475f411af10eaf082754c6e8b7a648da4fa72c23cbfea9fa13a91d88