WoodyRAT IOCs

security IOC

Команда Malwarebytes Threat Intelligence обнаружила нового троянца удаленного доступа, получившего название "WoodyRAT". Этот продвинутый пользовательский RAT в основном является работой агента угроз, который нацелен на российские организации, используя приманки в формате архивных файлов и, в последнее время, документов Office, используя уязвимость Follina.


Самые ранние версии этой RAT обычно архивировались в zip-файл, выдавая его за документ, предназначенный для российской группы. Когда уязвимость Follina стала известна всему миру, угрожающий агент переключился на нее для распространения полезной нагрузки.
WoodyRAT собирает и отправляет системную информацию, такую как информация об учетных записях пользователей, антивирусная информация, сетевые интерфейсы и т.д., посредством отправки на C2.

Indicators of Compromise

IPv4

  • 194.36.189.179

Domains

  • kurmakata.duckdns.org
  • microsoft-ru-data.ru
  • microsoft-telemetry.ru
  • oakrussia.ru

URLs

  • http://fcloud.nciinform.ru/main.css
  • http://garmandesar.duckdns.org:444/uoqiuwef.html

SHA256

  • 0588c52582aad248cf0c43aa44a33980e3485f0621dba30445d8da45bba4f834
  • 3ba32825177d7c2aac957ff1fc5e78b64279aeb748790bc90634e792541de8d3
  • 408f314b0a76a0d41c99db0cb957d10ea8367700c757b0160ea925d6d7b5dd8e
  • 43b15071268f757027cf27dd94675fdd8e771cdcd77df6d2530cb8e218acc2ce
  • 5c5020ee0f7a5b78a6da74a3f58710cba62f727959f8ece795b0f47828e33e80
  • 66378c18e9da070629a2dbbf39e5277e539e043b2b912cc3fed0209c48215d0b
  • 982ec24b5599373b65d7fec3b7b66e6afff4872847791cf3c5688f47bfcb8bf0
  • 9bc071fb6a1d9e72c50aec88b4317c3eb7c0f5ff5906b00aa00d9e720cbc828d
  • b65bc098b475996eaabbb02bb5fee19a18c6ff2eee0062353aff696356e73b7a
  • ffa22c40ac69750b229654c54919a480b33bc41f68c128f5e3b5967d442728fb
SEC-1275-1
Добавить комментарий