Bisonal Malware IOCs

CERT-UA обнаружено несколько вредоносных файлов со специфическими названиями: "Вниманию.doc", "17.06.2022_Протокол_МРГ_Подгруппа_ИБ.doc", "замечания таблица 20.06.2022.doc", "О_формировании_проекта_ПНС_2022_файл_отображен.doc"

Упомянутые RTF-документы содержат вредоносный код, обеспечивающий эксплуатацию одной или нескольких известных уязвимостей в MS Office Word (вероятно, документы созданы с помощью билдера RoyalRoad). Как результат, компьютер жертвы будет поражен вредоносной программой Bisonal (в одном из случаев используется загрузчик QuickMute).

По данным исследователей киберугроз, использование билдера RoyalRoad является одним из характерных признаков для связывающих с Китаем группировок. Более того, вредоносная программа Bisonal как пример является инструментом группы TontoTeam (UAC-0018). Ввиду изложенного целесообразно предположить, что группы, ассоциирующие с КНР, активизировали деятельность в отношении российской федерации (предприятия научно-технической, авиационной отрасли, а также государственные органы).

QuickMute – вредоносная программа, разработанная с использованием языка программирования C/C++. Функционально обеспечивает загрузку, RC4-дешифровку и in-memory запуск пейлоада (ожидает PE-файл с экспортной функцией "HttpsVictimMain"). Для коммуникации с сервером управления предусмотрено использование ряда протоколов, включая TCP, UDP, HTTP, HTTPS. 

Indicators of Compromise

IPv4

  • 137.220.176.165

Domains

  • upportteam.lingrevelat.com
  • lingrevelat.com

URLs

  • https://upportteam.lingrevelat.com/update/v32/default
  • https://upportteam.lingrevelat.com

MD5

  • 001b53acfab523dc060d38d73d63feef
  • 2342bdd79ea84c4fa1b59d224f5a534e
  • 2f6d6e783d0c0cbe237714dd34d68e73
  • 518439fc23cb0b4d21c7fd39484376ff
  • 67bfa75dbc39ab88da995c21565d05ca
  • 80987dcdb36e7cb52bb03f00261aa2bd
  • 83b8d4462566a23298ca38c418eeccde
  • 8cdd56b2b4e1e901f7e728a984221d10
  • b8387fc571a8e79efab3e2cc343aae24

SHA256

  • 0f704f3ab4a3ec30656dab6094c582b1089cbc8fcba280cadf3c7a651aeaacc3
  • 7944fa9cbfef2c7d652f032edc159abeaa1fb4fd64143a8fe3b175095c4519f5
  • 7970393e506934e9304f1d18ced34b86ef04a0d278d8e3cdb4b0064caee73846
  • 7bfb283ee5c283ac6ebae718edb6ed340ab986a095ebab8c13ae828bffbaef9d
  • c2ba362693aad8686f79822712c3871f0da1570465578843f5d73c70db07e631
  • c7018ee3783f4b2fb19fedc78c59586390efa1b72c907867794bf42141eb767c
  • d79dcb90dfc01723f8df5628f502352c6f922187d3ef5942a6e8465552f40edf
  • f76f3277385195c27fdf2f90a01a8dd70bd05d92ab70696a6e6d7b0d5fb8e70c
  • f87b327dd7a3608fec6c0b0bb3486cc8c9b52271fdb3dc0b07229be116ca3786
SEC-1275-1
Добавить комментарий