CERT-UA от участника информационного обмена получил информацию о массовой рассылке электронных писем среди медийных организаций Украины (радиостанции, газеты, новостные агентства и другие) с темой "СПИСОК посилань на інтерактивні карти" .
В приложении письмо содержало документ "СПИСОК_посилань_на_інтерактивні_карти.docx", открытие которого приведет к загрузке HTML-файла и исполнению JavaScript-кода, что, в свою очередь, обеспечит загрузку и исполнение EXE-файла "2.txt", что классифицировано как вредоносное приложение CrescentImp.
Злоумышленники продолжают использовать уязвимость CVE-2022-30190 и все чаще прибегают к рассылке электронных писем по скомпрометированным электронным адресам государственных органов.
Indicators of Compromise
IPv4
- 185.80.92.143
- 87.236.161.43
URLs
- http://185.80.92.143:8998/update.html
- http://185.80.92.143:8998/2.txt
- https://87.236.161.43/i
MD5
- cc27122efef26fa2b4cc5d30845704e7
- 106d1413f8768be03cb7dc982a1455f9
- 32ed33d2723251046168fa9ab2016b65
SHA256
- 129073fd0f9234737ff8ca1aadd8cbaef664015d1088d68e8e501fa757c991d0
- 22d413e4b4fb45f058c312942fb170c2225ab7f30a653d3aeba79c054837b297
- e5f2033a86429f7921449397f3ca06dd92ff14ba35e013fcfdc47d4c4736d046