Key Group APT IOCs

security IOC

Исследователи Kaspersky Lab внимательно следят за Key Group, также известной как keygroup777, - финансово мотивированной группой вымогателей, нацеленной на русскоязычных пользователей.

Key Group APT

Активная как минимум с апреля 2022 года, Key Group первоначально использовала выкупное ПО Xorist, а затем присоединила к себе другие утекшие сборки выкупного ПО, такие как Chaos, Slam, Annabelle и UX-Cryptor. Группа использует многоступенчатые загрузчики, часто распространяемые через фишинговые письма, для загрузки выкупного ПО с GitHub или из удаленных источников, и общается с жертвами через Telegram, где также ведет переговоры о выкупе.

С течением времени деятельность Key Group развивалась, и в 2024 году она перешла на новые варианты выкупного ПО, такие как Hakuna Matata и Judge/NoCry. Разновидности выкупного ПО шифруют файлы, добавляя к ним уникальные расширения, например .Keygroup777tg.EXE, и используют целый ряд технологий сохранения, включая изменение ассоциаций расширений файлов, добавление ключей реестра и копирование себя в системные каталоги. Помимо программ-вымогателей, группа развернула чистильщик RuRansom и экспериментировала с троянцем NjRat, который обладает такими возможностями, как кейлоггинг и распространение по USB.

Группа связана с русскоязычной закрытой группой «huis», что указывает на то, что Key Group может быть дочерним проектом. Репозиторий GitHub, используемый Key Group, связан с Telegram-аккаунтом @json1c, что еще больше усиливает эту связь. Растущая доступность исходного кода программ для выкупа позволяет группам, подобным Key Group, использовать утечку инструментов без разработки собственного вредоносного ПО. Их штаммы ransomware обычно используют алгоритмы шифрования AES-CBC и иногда отслеживают жертв с помощью таких сервисов, как IP Logger. Тенденция использования публичных ресурсов для распространения и контроля вредоносного ПО подчеркивает растущую доступность инструментов для выкупа среди киберпреступников.

Indicators of Compromise

Domains

  • make-catherine.at.ply.gg

URLs

  • http://fastxstreamz.herokuapp.com/912974/3.exe?hash=agadob
  • http://fastxstreamz.herokuapp.com/913034/setupdjprog-i0w0w04g8gww4ock.exe?hash=agadox
  • http://fastxstreamz.herokuapp.com/913915/ndp462-kb3151800-x86-x64-allos-rus.scr?hash=AgADzh
  • https://raw.githubusercontent.com/max444432/RMS2/main/*
  • https://raw.githubusercontent.com/max444432/RMS2/main/:

MD5

  • 05fd0124c42461ef553b4b17d18142f9
  • 0889b78c02c338df9394d913866e540c
  • 09ce91b4f137a4cbc1496d3791c6e75b
  • 09f95167104b8cceecb7969cd5399e11
  • 1113bfbc7f3a62c87f1e090c57fa5d14
  • 1fed852d312031974bf5eb988904f64e
  • 2737b1b3835242989f544a18d2dbaeff
  • 291f9902534c323e2093d0fee37b5187
  • 3ba80c2f430fac5deec03788e5a438c3
  • 3f224adb6164f9a9c9e39e437fd0874c
  • 404d831747e7713f2ea6d859b52ce9b3
  • 44913214a6f04604e1b688524d9c419b
  • 46f8de68e5348e1042461629b0b634a2
  • 56f5a95ffa6f89c24e0880c519a2aa50
  • 5aa991c89a6564a3c6351052e157f9d8
  • 604fd6351a04b871dc77b6c7ad24ff3c
  • 6170bf1741d344c7d9b4384bf0771135
  • 636e1a7083439e77920c5c902de8e2ae
  • 63d8d813bc214b6f13f5eb3ee93b950a
  • 65cd0e68b4b5803064c6ca8be9b05b89
  • 6780495dad7eb372f1a660811f4894a6
  • 7237881af3c17426fa262ea362c2d50f
  • 7249f2373bb6adfc60db971b4f7a1d20
  • 75f46171e81d6c5c81929ae6e3996257
  • 7e1577b6e42d47b30ae597eee720d3b1
  • 843f24afda0e1b375f00a00b39cf4a6e
  • 8efcf0fa4eb05efe76a3ae28fb193606
  • a0165523b0cb1a3ad28b995f100cc3c3
  • a095507117b229ecbc53d5f3b5f35adf
  • a7ed00a3b0f827a3dccc69d8908f5a22
  • acea7e35f8878aea046a7eb35d0b8330
  • b1097f0a2b5b4b82e28cbd9953dd8b7c
  • b3bf4f7ca0bb97f68cfe61136c8f26d1
  • b404acd8cfce28de0fcf5d2b0be04989
  • ba2108e9c3bf810f8b59e19c0d8de310
  • bc9b44d8e5eb1543a26c16c2d45f8ab7
  • c2e1048e1e5130e36af297c73a83aff6
  • c2edcc9211872b82475cb0ee3adfed5d
  • c910da0baa2e08cefce079d1f7cb3469
  • ce9d5037ef8ab5c5677263e88e87464b
  • d2b80ac7cfcb075c5bdc637a75493e47
  • d2ffadec5aa0a5cdd5e5cf1a7901eb29
  • d655e77841cf6db3008dcd60c9c5eb18
  • da09fcf140d3aad0390fb7faf7260eb5
  • da8419165bcc5014114b1d1934db5dc0
  • e0c744162654352f5e048b7339920a76
  • e46330807afa8a023324e01f9b9c98bf
  • eb74803e3f3396e076517a8be727ae0d
  • edad568267a1d83403a8a55e557c8554
  • f93695564b97f03cc95ca242edcfb5f8
  • fbd7e50091e64349827d1a62947ce042
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий