Chaya_002 Malware IOCs

security IOC

Аналитики компании Forescout обнаружили кампанию с участием вредоносного ПО, маскирующегося под легитимные программы, такие как Google Chrome, Microsoft Teams и Microsoft Edge.

Chaya_002 Malware

Основная цель вредоносного ПО, отслеживаемого под именем Chaya_002, заключается в проведении разведки с целью сбора информации о пользователях и сети, что может послужить основой для будущих целевых атак, таких как развертывание выкупного ПО или установка инструментов удаленного доступа. Вредоносная программа продолжает развиваться и по состоянию на 23 сентября также способна выполнять команды PowerShell из пакетов MSIX, использовать скрипты AutoIt, утилиту командной строки Windows Managment Instrumentation для сбора информации о домене и загружать дополнительные инструменты.

Злоумышленник чередует различные каталоги WordPress для хранения вредоносного ПО, демонстрируя постоянную адаптацию тактики для уклонения от обнаружения. Этот кластер связан с аналогичными инцидентами, связанными с поддельными установщиками, распространяемыми через взломанные веб-сайты, с заметными совпадениями в тактике, методах, процедурах и инфраструктуре. По оценке Forescout, общая цель кампании, по-видимому, заключается в первоначальном сборе данных, картировании доменов и посредничестве в доступе, что, вероятно, направлено на монетизацию собранных данных и содействие более крупным кибератакам.

Indicators of Compromise

Domains

  • chhimi.com
  • e2sky.com
  • greyspartners.com

SHA256

  • 0b77ec71318f52dbd1b71977307821118ce504e308ce6a2dac19e4854ef092b2
  • 183c57d9af82964bfbb06fbb0690140d3f367d46d870e290e2583659609b19f2
  • 22dc96b3b8ee42096c66ab08e255adce45e5e09a284cbe40d64e83e812d1b910
  • 28c49af7c95ab41989409d2c7f98e8f8053e5ca5f7a02b2a11ad4374085ec6ff
  • 2da62d1841a6763f279c481e420047a108da21cd5e16eae31661e6fd5d1b25d7
  • 33dfe8712aa2410c613fe45cc1e37382d38b67abbed5f4c0ed7da1be9afac64a
  • 342b889d1d8c81b1ba27fe84dec2ca375ed04889a876850c48d2b3579fbac206
  • 42c1550b035353ae529e98304f89bf6065647833e582d08f0228185b493d0022
  • 42d7135378ed8484a6a86a322ea427765f2e4ad37ee6449691b39314b5925a27
  • 46aac6bf94551c259b4963157e75073cb211310e2afab7a1c0eded8a175d0a28
  • 4fa213970fdef39d2506a1bd4f05a7ceee191d916b44b574022a768356951a23
  • 57e9e1e3ebd78d4878d7bb69e9a2b0d0673245a87eb56cf861c7c548c4e7b457
  • 6464cdbfddd98f3bf6301f2bf525ad3642fb18b434310ec731de08c79e933b3e
  • 67b5b54c85e7590d81a404d6c7ea7dd90d4bc773785c83b85bcce82cead60c37
  • 700f1afeb67c105760a9086b0345cb477737ab62616fd83add3f7adf9016c5e5
  • 7683d38c024d0f203b374a87b7d43cc38590d63adb8e5f24dff7526f5955b15a
  • 77dc705cecbc29089c8e9eea3335ba83de57a17ed99b0286b3d9301953a84eca
  • 7b8d4b1ab46f9ad4ef2fd97d526e936186503ecde745f5a9ab9f88397678bc96
  • 7ea83cca00623a8fdb6c2d6268fa0d5c4e50dbb67ab190d188b8033d884e4b75
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий