UAC-0184 APT IOCs - Part 2

security IOC
Опубликовано

Лаборатория Cyble Research and Intelligence Labs (CRIL) выявила устойчивую кампанию по распространению вредоносного ПО от группы злоумышленников UAC-0184, направленную на Украину, с использованием XWorm RAT.


Последняя кампания UAC-0184 использует вредоносные LNK-файлы, которые, вероятно, распространяются через фишинговые или спам-сообщения с ZIP-вложениями. При выполнении LNK-файл запускает сценарий PowerShell, который загружает ZIP-файл, содержащий как легитимные, так и вредоносные компоненты Python, включая зашифрованную полезную нагрузку. Эта кампания знаменует собой переход от предыдущего использования Remcos RAT к XWorm RAT. В процессе заражения используется боковая загрузка DLL, когда легитимный исполняемый файл Python используется вместе с вредоносной DLL Python, что позволяет конечной полезной нагрузке, XWorm RAT, быть выполненной без обнаружения. Затем XWorm RAT пытается подключиться к серверу Command-and-Control (C&C) для удаленного доступа, хотя на момент анализа сервер был неактивен.

Развертывание XWorm RAT указывает на то, что основной целью группы является получение удаленного доступа к взломанным системам. Операции UAC-0184 свидетельствуют о постоянных усилиях по проникновению на украинские объекты в стратегических целях, что отражает постоянную эволюцию их тактики по обходу мер безопасности и обеспечению успешной доставки полезной нагрузки. UAC-0184 имеет опыт работы с украинскими организациями, ранее используя такие методы, как стеганографические файлы изображений и IDAT Loader для распространения полезной нагрузки.

Indicators of Compromise

URLs

  • http://185.216.68.142:9000/hooks/xxx?id=%computername%
  • http://45.95.232.82/dfghujfdkg3fmsud/sud.exe
  • http://81.19.139.14/987yuhgzsd234dfwhjkaqppkg.zip
  • http://81.19.139.62/f8d79yuhjhlgdjlsjkf83da0pkg.zip
  • http://81.19.139.62/f8d79yuhjhlgdjlsjkf83da0sud/sud.exe
  • http://88.151.192.128/djfhu34u9983234s3fnvmxxzpkg.zip

SHA256

  • 06adb754096f5853999038c000d8cdafa69bb1696b1011e781ab18bbea6107ce
  • 0d16de10ce708b990d1b0ae26ac12792c91864426c88a8c73a475f7f33db014b
  • 17dc38bd4e01496a91d82e6de763df6fd94c00eb1e90e0cccd7f07f84b549f43
  • 38dea3732044129bd99314de582ba3d58a649c8967fe12b98cd867ca6e349ffe
  • 40fd3597c44d10e201304b80c20dd8f2a1ad1ee1032f90d83d7917e037a1d130
  • 444986ba74685fde34afbbf6a6963c5f35f12a1a65a705e5184c545a18c080c6
  • 7382cf09d04de58beeba4d71fec9777815924fe66849c89e4230b8f26bff2650
  • 7860a6e7264839c59506d5d69e40311e0c1e6af11b2351ccffe8d9b09acde9a3
  • 98fcabe279d4001b29949d980aa9ae8396b352ef7c4a90b9dbe07650a7d4b797
  • b1355a4eef0c265a9d918cec16f7299f4acc51daf8e3d59ef445cb46914f48ff
  • bf5a2450f5287f775c2427590c29c27e28e3662c2f68296c64cdacdb639f3b97
  • d815e32b7998d3927792e579d4ad8430792ca1043b3570f0ee73855529516d21
  • d938cb8accbc51046158350155f1af9248fc8459ef2b92be752b93dae77504a6
  • dd8377e9c3620d0732bedecd0d219f77f7bcffbc49470a9b7ff22db33fe4a185
  • dea780f228acbd536b5cbb35efe1a41d18771f6ed987c9d19b175de44f1d566c
  • e314b233b41a5688a4e43f876ccb10718351d3f396b4df623b4ebb0a093be7e0
Похожие записи:
  1. UAC-0184 APT IOCs
  2. ZxxZ RAT IOCs
  3. Gigabud RAT IOCs
  4. IceBreaker APT IOCs
  5. Фишинговые кампании используют популярность CapCut для доставки нескольких стилеров
APT Cyble Research Labs Rat UAC-0184 Xworm RAT
SEC-1275-1
Добавить комментарий