Core Werewolf APT IOCs - Part 2

security IOC
Опубликовано

Специалисты по анализу угроз компании F.A.C.C.T. обнаружили вредоносный файл, связанный с кибершпионской группой Core Werewolf. Файл представляет собой самораспаковывающийся архив 7zSFX, который скрытно устанавливает и запускает легитимную программу удаленного доступа UltraVNC. Файл был загружен из Гюмри, Армения, где расположена 102-я российская военная база. Предполагается, что именно эта база является целью атаки. Доказательством тому служит использование в качестве приманки документа-ходатайства, якобы предназначенного для вручения государственных наград военнослужащим спецназа. Core Werewolf - группа кибершпионажа, известная тем, что атакует российские организации, связанные с обороной и критической инфраструктурой. Ранее они атаковали российский научно-исследовательский институт и оборонный завод.

Вредоносный файл предназначен для извлечения его содержимого во временную директорию и запуска обфусцированного пакетного файла. Пакетный файл выполняет различные функции, включая создание копий документа-приманки и исполняемого файла UltraVNC, создание задач в планировщике задач Windows для завершения и запуска исполняемого файла UltraVNC, а также подключение к определенному серверу. Исполняемый файл OneDrives.exe представляет собой легитимную версию UltraVNC.

Судя по дате и времени модификации файла, предполагается, что атака могла начаться до 15 апреля 2024 года. Файл был загружен с VirusTotal в этот день из Гюмри, Армения. Технические подробности атаки можно найти в блоге Дмитрия Купина, руководителя отдела анализа вредоносного кода департамента Threat Intelligence компании F.A.C.C.T.

В целом этот инцидент свидетельствует о кибершпионской деятельности группы Core Werewolf и ее нацеленности на российские военные базы. Использование подложного документа, а также установка и запуск программы удаленного доступа указывают на попытку получить несанкционированный доступ и, возможно, провести дальнейшие вредоносные действия. Организациям и частным лицам необходимо сохранять бдительность в отношении подобных угроз и принимать соответствующие меры по укреплению своей кибербезопасности.

Indicators of Compromise

IPv4

  • 185.139.70.84

Domain Port Combinations

  • mailcommunity.ru:443

MD5

  • 08b6f274e353ce8baba43624eb552736
  • 8ca78dd94dc795db041688a6eedf60a5
  • b4644e784d384e419a270c8a44f41dd2
  • d41d327f59c2f407a8e946d5bd333fc9
  • d45bdf072094435bbb534b9a0c254af5
  • df6accf05af177ac467ef9df45bfd19f
  • e265d15a83e52b9ced30f6a9d747b388

SHA1

  • 12855d9329e3de89475acfeb4d77415fd703a123
  • 210d1c0e007de3c5815b1188de989799ff6b511a
  • 36ccb806682d370baf8f0f0c7a6424601caaed9a
  • 5b1b74b5fe12e11366b63c0d8bce9411330cfb48
  • 6e5a802e42674f6c8de74b7bea6024f637ff39e3
  • 70c9e8eccd43c6426cb9c86a4f76ad6d99d39dca
  • e1c24d8bfab674937f498701f8b25d07c56dada0

SHA256

  • 0de3e1349b12a96a99784c45aebbf88012562545af6ade624e78d0ff2cfd5f35
  • 20b23cc90cbfbef9bb7cedfbb1b75f24a03ba96af8c576263077501814df6376
  • 2bac8b29b52f7ddd4fd19a1ace8bbc2e4ae4e834a41275fb5865eeb5ab805275
  • 493a08471ca2bdb89f980a5b1fb005e31bc1ca714e2da973b708d0b125d6edea
  • bc96b7ee0ec9b01d6ec7b887ca8da6f452fbcc9203d6ab0a8f8ccfe4fe91900f
  • e111527ae3ba900e98fddd61d4be45c24c559d2f6bc9b2ccd327c250d460d11b
  • fbd4a8052a69221f27467904f83b6c36fadf0d77043ac9d0e35b2be2e43ea3a2

Похожие записи:

  1. Core Werewolf APT IOCs
  2. RedCurl APT IOCs
  3. Sticky Werewolf APT IOCs - Part 2
  4. RedCurl APT IOCs - Part 2
  5. BlackCat (BlackMatter) APT IOC
APT Core Werewolf F.A.C.C.T.
Добавить комментарий