Cobalt Strike Beacon IOCs - Part 3

Опубликовано

CERT-UA получена информация о распространении 05.07.2022 электронных писем по теме "Спеціалізованої прокуратури увійськовій та оборонній сфері. Інформація щодо наявності вакансій та їх укомплектування" и вложении в виде XLS-документа "Інформація щодо наявності вакансій та їх укомплектування.xls".

Документ содержит макрос, активация которого приведет к созданию на компьютере и запуску файла "write.exe". Указанный файл выполняет роль дропера, обеспечивая создание на диске файла "%PROGRAMDATA%\TRYxaEbX", его дешифрование (RC4) и последующий запуск PowerShell-скрипта. Кроме того, EXE-файл также обеспечивает собственную персистентность, создавая ключ "Check License" в ветке "Run" реестра Windows. Полученный PowerShell-скрипт кроме обхода AMSI и отключение логирования событий для PowerShell обеспечит декодирование и декомпрессию данных в следующий PowerShell-скрипт, который, в свою очередь, обеспечит выполнение вредоносной программы Cobalt Strike Beacon.

Cobalt Strike Beacon

Indicators of Compromise

Domains

  • skreatortemp.site

URLs

  • https://skreatortemp.site/s/08u1XdxChhMrLYdTasfnOMQpbsLkpq3o/field-keywords/
  • https://skreatortemp.site/nBz07hg5l3C9wuWVCGV-5xHHu1amjf76F2A8i/avp/amznussraps/

MD5

  • c6e7af8d31a951b8c05565ab18c4f258
  • 28f18fc7d9a0ab530742c2314cbd5c32
  • 8409920ef2d78549fc214718c4719d3a
  • 1dc98fb372925fcba321b0bc8347fdcc
  • f4217387333f65faeb7b13637c1e7c72
  • 26e326ba69f5258c4979902b5bd4f24e
  • a4b4047022bce6f65faffc4c6033c5d2

SHA256

  • 024054ff04e0fd75a4765dd705067a6b336caa751f0a804fefce787382ac45c1
  • 14736be09a7652d206cd6ab35375116ec4fad499bb1b47567e4fd56dcfcd22ea
  • e68c83ce6359691ce63c957ebfdbf959c5b199c83fd2480aebe4220fec9f3304
  • d1e6d365a3ede77bd7f6c77523b114dd9628f7b9bafb2e458f9b19bd6ce24c71
  • e1cbfef74b4084023a1f02ab68b3ad3bc60561f7e988860b80ac94a91922fa86
  • 9dec13e1b0ed9337fcbe233d5f83eff09c64a14c7f2400b9b915a685b29612ea
  • c1e14c4d8d83281de413ccaa577621a057195df3773960274aabf855e2c7bea2

File Path

  • %PROGRAMDATA%\TRYxaEbX
  • %TMP%\write.exe
  • %PROGRAMFILES(x86)%\Microsoft Office\Office14\EXCEL.EXE
  • %TMP%\write.exe

Reg

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Check License

Похожие записи:

  1. Cobalt Strike Beacon IOCs - Part 4
  2. TrickBot Botnet IOCs - Part 2
  3. RomCom Backdoor IOCs
  4. Armageddon APT IOCs - Part 4
  5. Распространение электронных писем с поддельным сканером от имени CERT-UA
CERT-UA Cobalt-Strike Beacon
Добавить комментарий