COOKBOX Backdoor IOCs - Part 2

security IOC
Опубликовано

Сервис CERT-UA получил информацию о попытке атаки на представителя Сил обороны Украины через вредоносное программное обеспечение.

Атака произошла путем отправки файла "Супровід.rar" через мессенджер Signal под предлогом запроса документов для замещения должности в ООН. Архив содержал эксплойт для уязвимости в программном обеспечении WinRAR (CVE-2023-38831). Если архив будет открыт, будет запущен CMD-файл "супровід.pdf .cmd", что приведет к запуску вредоносной программы COOKBOX через PowerShell-скрипты. Сервер управления COOKBOX использует сервис динамического DNS NoIP, который был заблокирован.

Indicators of Compromise

Domains

  • netman.servehttp.com
  • worker-misty-mouse-6ac7.aky15825.workers.dev

URLs

  • http://netman.servehttp.com
  • http://worker-misty-mouse-6ac7.aky15825.workers.dev/

MD5

  • 1e857958a3c7f909ee1370c66d71adfd
  • 2fec3ab587e6b5533b4c6b3c11dd357a
  • ba1859659089253621e5a65181ea94cd
  • cc1732ce2d2cd79dc85893fdc3b7d143

SHA256

  • 56b569912a6e1c4c08e5612c0ef5ddf9f238b1d708621b89963b47b31e45cde1
  • 6652b46987350e831678d7a33a70bce94c8c9cca137f0bb0efbbd0c07279cbb6
  • 8f8abfa6717ad2043a295d16b5aeeac3e7084b7994f6eec8351e18a9a3c59997
  • d8ccaef116cada9c558f9e912d5cf7ef2978082611e677f6f55ca233f47a2f68

Похожие записи:

  1. COOKBOX Backdoor IOCs
  2. RomCom Backdoor IOCs
  3. LOGPIE Keylogger и CHERRYSPY Backdoor IOCs
  4. TURLA APT IOCs - Part 3
  5. GhostWriter APT IOCs - Part 5
Backdoor CERT-UA COOKBOX CVE-2023-38831
Добавить комментарий