Cobalt Strike Beacon IOCs - Part 4

Опубликовано

CERT-UA зафиксирован факт массового распространения электронных писем с темой "Об'єднаний офіційний звіт про гуманітарну ситуацію. Україна" и вложением в виде XLS-документа "Гуманітарна катастрофа України з 24 лютого 2022 року.xls".

При этом электронные письма рассылаются по скомпрометированным электронным адресам государственных органов Украины. Этот документ содержит макрос, активация которого приведет к запуску файла "baseupd.exe", выполнение которого приведет к поражению компьютера вредоносной программой Cobalt Strike Beacon.

Исходя из использованных тактик, активность ассоциирована с деятельностью группы UAC-0056.

Cobalt Strike Beacon

Indicators of Compromise

IPv4

  • 136.144.41.177

URLs

  • http://136.144.41.177/s/Xnk75JwUcIebkrmENtufIiiKEmoqBN/field-keywords/
  • http://136.144.41.177/nzXlLVas-VALvDh9lopkC/avp/amznussraps/

MD5

  • c73d42d7546fe049f63115635c092288
  • 169b38e089926371592a5ef66ae5c52b
  • 23cf0517359c014a8d25085eceb2cb25
  • f063766d0481194829be3c5db209bfcf
  • 6cac251512ecd9f0627cf0da5d0a0ff7
  • a3cf45b6206bedee45c45b6ccdc8be98
  • 3f29f5c1733b3ea1c1cfe36826e33a2a

SHA256

  • 73e1f2762ffe8e674f08d83c1308362bd96ccd4f64c307ee0a568bc66faf45bb
  • 501d4741a0aa8784e9feeb9f960f259c09cbceccb206f355209c851b7f094eff
  • f3f43f3f4d55c0382f9045fd8093eef66074ca7d97dad066746ace47cc47319a
  • df4724e21d9dea9b3e7f38b1ad905ad1922d30b6142da01c0218ed80644ca22a
  • e390d3d9004124616a18d10dc5b9f6eeab6b01bd167fac4d783036af574a4278
  • 2ed48e578a522a4e718510572056c5cd86d11bdf7e71a52c68a55ebb823771da
  • 00ae9c36c0ebce87efcd63852716ed88599d0ba8bf117ad1771a35b9c67e3402

Похожие записи:

  1. Cobalt Strike Beacon IOCs - Part 3
  2. TrickBot Botnet IOCs - Part 2
  3. Cobalt Strike Beacon IOCs - Part 5
  4. RomCom Backdoor IOCs
  5. Armageddon APT IOCs - Part 4
CERT-UA Cobalt-Strike Beacon UAC-0056
Добавить комментарий