Armageddon APT IOCs - Part 2

security IOC
Опубликовано

CERT-UA выявлен факт массового распространения электронных писем по темам "Інформаційний бюлетень", "Бойове розпорядження", в том числе, якобы, от Национальной академии СБ Украины. При этом электронные письма рассылаются на частные электронные адреса объектов атаки.

В приложении к письму находится HTM-дропер, открытие которого приведет к созданию на компьютере RAR-архива, например "22_07_2022.rar". Последний содержит LNK-файл с релевантным для жертвы названием, например, "Информационный бюллетень Департамента контрразведки Службы безопасности Украины от 22 июля 2022 года.lnk", а запуск файла-ярлыка приведет к загрузке и выполнению HTA-файла.

Указанный HTA-файл может содержать VBScript-код, который с помощью PowerShell осуществит декодирование и запуск вредоносного приложения GammaLoad.PS1_v2.

Злоумышленники пытаются избежать DNS-резолвов доменных имен серверов управления, для чего с целью получения A-записей (IP-адресов) используются сторонние сервисы, например: hxxps://cloudflare-dns[.]com/dns-query , hxxps://whoer[.]net/ru/checkwhois и другие.

Armageddon APT

Indicators of Compromise

Domains

  • a0695487.xsph.ru
  • a0698262.xsph.ru
  • a0698649.xsph.ru
  • fishitor.ru
  • leonardis.ru
  • mail-box.site
  • fast-mail.site
  • your-mail.press

URLs

  • http://159.223.218.10/index.php
  • http://164.92.166.107/index.php
  • http://194.67.87.33/CCLEANER123.db?=detachment
  • http://45.63.114.110/index.php
  • http://a0695487.xsph.ru/banisters/guess.xml
  • http://a0695487.xsph.ru/relationship/preservation.xml
  • http://a0698262.xsph.ru/quickly/neville.xml
  • http://a0698262.xsph.ru/see/guilty.xml
  • http://a0698649.xsph.ru/nervous/Queen.xmlc5977405d69f735f746354175b53f12c
  • http://a0698649.xsph.ru/reliance/grudge.xml
  • http://a0698649.xsph.ru/selection/headache.xml
  • https://t.me/s/topnewsas
  • https://whoer.net/ru/checkwhois

Emails

  • visnik-ssu@mail-box.site
  • dnipro@fast-mail.site
  • visnik-ssu@your-mail.press

MD5

  • 1fc26cefdaa10012be05c6252033b773
  • 2b333fc9d4ad9eed100a3644d40b4755
  • 3d822040f77a2027643d37c063022751
  • 419861397bb302c1e6b663d26982e578
  • 4489ab1c55dd32ea26528d97897e71ba
  • 5c70578e4250274b92c9618abe59b238
  • 5dbb7b2c33635478a369b8fd40e2d8b3
  • 680a5bcbe5b068ee433c5bc35cde5d40
  • 8906218a0149a9ea8bffd7619b43a2c1
  • 903f87bef3f32d010deed6de78d1ade9
  • 91e4483615813398e61a7bef46c1e005
  • 9c73bd03e4c5d9796e9807c036ad51e1
  • a407ac0d454724527b6f8da72f9ee1c0
  • b307698a3b5134ea0708ed2222fb42f2
  • b8182f549d6b08b8fe0e58f9d5292650
  • b8aa1ca84adea55dcc0244ff12975400
  • c1c7da54905571a002b467109e56d423
  • c57bd947e15a858f629979c8390d3414
  • c5da0a4385b07aa63432005b7359d3d0
  • c7e81154fd9906fdd91f9053a24b19ce
  • c88ce71fafbbccb1a8b3e5f9f8e8b771
  • e96bd54cc8c9b26fa5020fe55ef4d25f
  • ee3661a8a6a1acf33e53f52a1e3a5533
  • f459762a57d192d6a01c0177643fea28

SHA256

  • 0608ae0f28510591798a1603adabde86a9dbd67e1bfb1713c3f397d0d1a306d1
  • 07323a7ecf084a1bb6cb81505dfd934c2706491053664588b3b5b065e3fb46f1
  • 22d1fe7676b26480e7d47b48dc19d9b3959662fb2c94fb06d2d3d170a31ea53f
  • 315fdf6913cdcc1b94d3a43df12943164c8f30b89fbd69ccf8a254ca8d2de35a
  • 3e027bfad251a13b4765801cfa31692bdc057493061e04496c3e2667d8aee94c
  • 47c10e67cc06c99a1d5e1f7f1f60cd516b8445df53419517e0e1f2bfdcab3e18
  • 508040716bb3d3f58fa6b58dd3ee52343f1a228f79d374e80e79751c8f446fc0
  • 5a4b20a44ca8a10c9536ec2119593b22a57537cd9dbc6027d476fd2e74e0702e
  • 6c6d1465de0e045399731440df5b54fdd91d50b4ddf8244bec62c1883b40bc35
  • 7cca81a2e043e2a87cda812275e1817a6f35ede75d83f76bad8f7ffa6f7e6f18
  • 811860d330b9335e4c0083c7d4121969b59d8b7dc475819310d894d7572cea6e
  • 82a696d8f21ba738c0af474061c79584fefcfea5627b221b78a24fcf94dd1f2e
  • 84561b3db51327b059bbbab02a3d93d9fb89d5de080cbb8ebeaef7d5365f2700
  • 8e61bacc1d524885ea5f0bcdaabbfd56c2234ea62c10a9442d65444cab934847
  • 9569b0d2bd15beb7ae6ec17a3fb656f016693971d12c8d38b4de998c320550ff
  • 980181feb0b5844036f2c99007cbe4bf9fb3ef2af940d5d8d7b957debad20b95
  • 98328773322c3bcec11105d7411bdde27f6663f33e01dae32a429226138e86b6
  • 9d1dc7f559272903b9e3b35ed410862260e42fe4058b21750b27d68e8f229859
  • ab7e2bb12bf98a022bfb239c55a514af6c6fcfe8c7c92ab77fc97a50a3126284
  • af874c478a939641b21b96688855c4bc663797e6ba4af4f60f8fa1b6c1428d2e
  • b11f450a395ea22a71a5fd7f381783ec9e5639f68796b6a0a200ec8904ebcdad
  • bea69eac34c2b42108c857031e5c25fe9313ed64c22ff2fc95f30504da4c5424
  • d530343732d149b5d681b54e83394211fd9e811b5ca88b1c23c132593605d661
  • de9051d876961d2eebdeb4a2b0dbbc1da50f941cd638eb0aeaaacc4d3858f8dd
  • ef0ee60ccfb9418fea42c62aec3b7450cb4c14f15baf8b81139ccd4086a7c288
Похожие записи:
  1. Armageddon APT IOCs
  2. Armageddon APT IOCs - Part 3
  3. Armageddon APT IOCs - Part 4
  4. Cobalt Strike Beacon IOCs - Part 4
  5. RomCom Backdoor IOCs
Armageddon CERT-UA
Добавить комментарий