AgentTesla Spyware IOCs

security IOC

CERT-UA зафиксировала атаку на государственных организаций Украины, используя тему ОК "Південь" и программу AgentTesla.

CERT-UA выявила файл «Report_050722_4.ppt», который содержит изображения-миниатуру, в котором упоминается оперативная команда «Південь».

В случае документа и активации макроса последнее обеспечит создание файлов «gksg023ig.lnk» и «sgegkseg23mjl.exe», а также выполнение файла LNK с использованием Rundll32.exe, который, в свою очередь , приведет к запуску упомянутого файла EXE.

Исполняемый файл представляет собой .NET-Program, обфусцированную с помощью CONSUSSERX, который загружает файл JPEG "TUMB_D_D_F3D14F4982A256B56B56BDAE9BD579429429429A7.jpg", поиск соответствующего смещения и думпера. -07-08).

В будущем, после серии преобразований (GZIP, AES, BASE64, XOR), в том числе с использованием стеганографии, дата компиляции: 2022-07-06.

Учитывая имя и содержание документа PPT, мпредпологается, что атака была направлена ​​на государственные организации Украины.

Indicators of Compromise

Domains

  • ftp.artrsllc.com
  • onyangdol.site

URLs

  • https://onyangdol.site/thumb_d_F3D14F4982A256B5CDAE9BD579429AE7.jpg
  • ftp://ftp.artrsllc.com/

MD5

  • 5675473bb46fad83c92865c9c6afbd5e
  • c71f41f71e0beea474049af497eae7b7
  • 88c2f95bb1e008e2952799a427ab8492
  • 24a95b0c3d0bab9451e49ebd2a95efb4
  • 050a2254623b88bdd5d171715542bee1
  • 3249773213e0a41ed4d49174ad651f28

SHA256

  • 00fdb03518c238dc649a39e94f0bcc95dacf3b832979d14d0ed5194b9b482b87
  • cffc6a854632d979e3c12d4c29835490229db79909b18010d3dbaabbb89ad2cc
  • bc92a5b1c4205ea1fbfec9144b8aab485e095142c7105c9d616b089ec668f198
  • c40e6b176ad3fd7332cd217191e557352ef4b82bf91f29939121267598737990
  • 8a9262fecbb58364982f38bdefd44336005632079e254e6f82693050fa29c403
  • 664723f55237e2d14b39938878fd0a3744cc808d4d3e67e22f1bcbd410960557

File path

  • %APPDATA%\Microsoft\sgegkseg23mjl.exe
  • %TMP%\gksg023ig.lnk
SEC-1275-1
Добавить комментарий