В августе 2020 года Kaspersky Lab впервые опубликовали частный отчет о VileRAT для клиентов, занимающихся анализом угроз. VileRAT - это Python-имплант, часть уклончивой и очень запутанной кампании атак против компаний, занимающихся валютной и криптовалютной торговлей. Kaspersky Lab обнаружили его во втором квартале 2020 года в рамках обновления модуса работы Evilnum и приписали его DeathStalker. Вредоносная деятельность, которую связывают с треком VileRAT от DeathStalker, была публично и частично задокументирована после этого, без указания авторства или под разными псевдонимами (Evilnum, PyVil), начиная с сентября 2020 года, в течение 2021 года и совсем недавно в июне 2022 года.
DeathStalker действительно постоянно использовал и обновлял свой инструментарий VileRAT против одного и того же типа целей с тех пор, как впервые выявили его в июне 2020 года. Несмотря на то, что недавно всесторонне задокументировали эту эволюцию для наших клиентов, занимающихся анализом угроз, и несмотря на существующие публичные индикаторы компрометации, кампания не только продолжается на момент написания статьи, но и что DeathStalker, вероятно, увеличил свои усилия по компрометации целей с помощью этого инструментария. С марта 2022 года действительно удалось обнаружить больше образцов вредоносных файлов, связанных с VileRAT, и новую инфраструктуру, что может быть симптомом увеличения числа попыток компрометации.
Indicators of compromise
IPv4
- 185.161.208.160
- 185.161.208.166
- 185.161.208.172
- 185.161.208.182
- 185.161.208.194
- 185.161.208.20
- 185.161.208.207
- 185.161.208.209
- 185.161.208.225
- 185.161.208.64
- 185.161.209.117
- 185.161.209.170
- 185.161.209.223
- 185.161.209.28
- 185.161.209.87
- 185.161.209.97
- 185.236.230.25
- 185.236.76.21
- 185.236.76.230
- 185.236.76.30
- 185.236.76.34
- 193.56.28.201
Domains
- admex.org
- adsmachineio.com
- adsoftpic.com
- advertbart.com
- advflat.com
- advideoc.org
- affijay.com
- agagian.com
- aidobe-update.com
- alipayglobal.org
- allmyad.com
- allrivercenter.com
- amazonappservice.com
- amazoncld.com
- amazoncontent.org
- amazonpmnt.com
- ammaze.org
- am-reader.com
- amzbooks.org
- amznapis.com
- amzncldn.com
- amzn-services.com
- ananoka.com
- anyfoodappz.com
- anypicsave.com
- apidevops.org
- api-pixtools.com
- api-printer-spool.com
- apiygate.com
- appcellor.com
- appdllsvc.com
- applecloudnz.com
- apple-sdk.com
- atomarket.org
- audio-azure.com
- auzebook.com
- azcloudazure.com
- azueracademy.com
- azure-affiliate.com
- azurecfd.com
- azurecontents.com
- azuredcloud.com
- azuredllservices.com
- azureservicesapi.com
- bgamifieder.com
- bingapianalytics.com
- book-advp.com
- bookaustriavisit.com
- bookfinder-ltd.com
- bookingitnow.org
- booknerfix.com
- borisjns.com
- bunflun.com
- cargoargs.com
- cashcores.org
- check-avg.com
- checkpoint-ds.com
- cloudamazonft.com
- cloudappcer.com
- cloud-appint.com
- cloudazureservices.com
- cloudhckpoint.com
- cloudpdom.com
- cloudreg-email.com
- coreadvc.com
- corpxtech.com
- corstand.com
- cosmoscld.com
- covdd.org
- covidaff.org
- covidgov.org
- covidsrc.com
- covidsvcrc.com
- covsafezone.com
- crm-domain.net
- cyphschool.com
- dbcallog.com
- dellscanhw.com
- deltacldll.com
- deuoffice.org
- diamondncenter.biz
- dnserviceapp.com
- dnstotal.org
- dogeofcoin.com
- driver-wds.com
- dustforms.com
- earthviehuge.com
- econfuss.com
- edwardpof.com
- elitefocuc.com
- enigmadah.com
- eroclasp.com
- eroeurovc.com
- esetupdater.com
- estimefm.org
- estoniaforall.com
- extrasectr.com
- ezteching.com
- fastnetbrowsing.com
- findmypcs.com
- firedomez.com
- flightpassist.com
- flowerads.cloud
- flyingpackagetrack.com
- forceground.co
- freepbxs.com
- futureggs.com
- fxmt4x.com
- getappcloud.com
- globaladdressbook.cloud
- global-imsec.com
- goalrom.com
- govdefi.com
- govtoffice.org
- gratedomofrome.com
- gvgnci.com
- hostboxapp.com
- hostedl.com
- hpcloudlive.com
- hubflash.co
- ihotel-deals.com
- imagegyne.com
- imageztun.com
- inetp-service.com
- infcloudnet.com
- infntio.com
- informaxima.org
- invgov.org
- iteamates.com
- jarviservice.org
- jmarrycs.com
- kgcharles.com
- khnga.com
- leads-management.net
- liongracem.com
- luccares.com
- mailcloudservices.org
- mailgunltd.com
- mailservicenow.com
- mailservice-ns.com
- mainsingular.com
- mcafee-secd.com
- meetomoves.com
- mevcsft.com
- missft.com
- moreofestonia.com
- moretraveladv.com
- mscloudin.com
- msdllopt.com
- msfastbrowse.com
- msfbckupsc.com
- msfsvctassist.com
- msftapp.com
- msftcd.com
- msft-cdn.cloud
- msftcrs.com
- msft-dev.com
- msftinfo.com
- msftmnvm.com
- msftprint.com
- msftprintsvc.com
- msintsvc.com
- mslogger.org
- mstreamvc.com
- mullticon.com
- multitrolli.com
- multizoom.org
- murfyslaws.com
- musthavethisapp.com
- n90app.com
- namereslv.org
- navyedu.org
- netmsvc.com
- netoode.com
- netpixelds.com
- netrcmapi.com
- netwebsoc.com
- networkcanner.com
- newedgeso.com
- nortonalytics.com
- ntlmsvc.com
- nvidiaupdater.com
- oauth-azure.com
- oautho.com
- officelivecloud.com
- oglmart.com
- olymacademy.com
- onesportinc.com
- orbiz.me
- orklaus.com
- outlookfnd.com
- outlooksyn.com
- pcamanalytics.com
- pdfscan-now.com
- philipfin.com
- picodehub.com
- pinktwinlers.com
- pivotnet.org
- plancetron.com
- planetjib.com
- plantgrn.com
- pngdoma.com
- poccodom.com
- polanicia.com
- praxpay.org
- printauthors.com
- printfiledn.com
- print-hpcloud.com
- prodeload.com
- qeliabhat.com
- qnmarry.com
- questofma.com
- quotingtrx.com
- realmacblog.com
- realshbe.com
- refinance-ltd.com
- refsurface.com
- roblexmeet.com
- robmkg.com
- roboecloud.com
- rombaic.com
- rowfus.com
- scan-eset.com
- searchvpics.com
- sellcoread.com
- service-azure.com
- servicebu.org
- servicejap.com
- shopadvs.com
- shopamzn.org
- showsvc.com
- soundstuner.com
- streamsrvc.com
- superimarkets.com
- svclouds.com
- svcscom.com
- symantecq.com
- sysconfwmi.com
- telecomwl.com
- telefx.net
- textmaticz.com
- thesailormaid.com
- thismads.com
- timetwork.com
- tomandos.com
- tophubbyriver.com
- topotato.org
- totaledgency.com
- traveladvnow.com
- travelbooknow.org
- tripadvit.com
- trquotesys.com
- trvol.com
- trvolume.net
- udporm.com
- unitedubai.org
- unitepixel.org
- upservicemc.com
- veritechx.com
- visitaustriaislands.com
- voipasst.com
- voipreq12.com
- voipssupport.com
- vvxtech.net
- walltoncse.org
- wazalpne.com
- wdigitalecloud.com
- weareukrainepeople.com
- weatherlocate.com
- webinfors.com
- wicommerece.com
- windnetap.com
- windows-accs.live
- windows-ddnl.com
- windowslive-detect.com
- wingsnsun.com
- wizdomofdo.com
- wldbooks.com
- worldchangeos.com
- worldsiclock.com
- wwcsport.org
- xlmfx.com
- yomangaw.com
- yorkccity.com
- yourprintllc.com
- zerobitfan.com
- zummaride.com
MD5
- 02c1ec61c4e740af85b818a89e77e2c2
- 03205e90135fd84d74af8b38d1960994
- 0456fa74b8cc6866c5d1ce9e15136723
- 09fb41e909a0bca1ab4e08cb15180e7c
- 0b4f0ead0482582f7a98362dbf18c219
- 0bd06d2c17987c7b0c167f99bb4dc0b4
- 0cb7936975f74ea2c4fa476a6e3d5a05
- 0f3685a6aca7991c209d41d0e2279861
- 107a084a1c8a6e9e5b3bef826c3443dc
- 14d9d03cbb892bbbf9939ee8fffdd2b5
- 15a192bb683bd47956cc91b2cfce3052
- 15baf177fc6230ce2fcb483b052eb539
- 15c62d22495ca5aa4bb996b2cb5feb7f
- 161fe654dded7ae74ee40f1854b9f81e
- 174cf10f0f320b281b3ffbf782771ad7
- 1aafbe60e4d00a3bffdb76fa43c2adbb
- 22ddb087ef3310b3f724544f74e28966
- 237831757f629ba61c202b51e0026c9b
- 237bab121e846dcfa492e7cc5966ead9
- 238cd8435adffdaebbf9d7489764648a
- 241ad2bb7e703343f477960b39a8b300
- 2503b8aabeeb2649915126573307b648
- 257754e9cd6eec6db5323e282fb16a74
- 29ef001568851845b84f3cd163bfd439
- 2a5eca9b83a999e86054e53330f68f5b
- 2baadb95ef832cf5eb550121fa0292d0
- 2c6314821c64f235e862b38dadee535e
- 2dbea08afe245f246b500727b7d27761
- 2f8817b75d81c2f029fa70de69b4a94b
- 2fc7211c94b7c89968acfad8c084ee3b
- 2fddda0dc33d3f8bab906c43982aa4a2
- 30ca78a99f49782942835b1c10e2834a
- 33f1303842bddc98205984e6acf782f7
- 344a41ecf89b5642b6fe0a695852aa1b
- 348c99a209616fc674fcabcafddba4a0
- 36e60c00a64baa014cf7a44cb9c9f410
- 3c4f409a7926731254b44ca6526dced1
- 3c8052862b194f205ac5138bf07adfbe
- 3c960dcc782a4d9552f0cc96451633c8
- 3c9a5a69cc928a39519178da2a8effb6
- 3d127901afd64eace4c7b939fdba90bb
- 3e0a49646b9d5d0c63036692ba1c7315
- 3fc5ab8a3eab1d8cff8530bbe2bae608
- 43a2b45d25bb898dbbcb2ee36c909d64
- 524909cb66848b1ee2987fdc0b69b451
- 52b208e86c0dde252200953a4eb71ea3
- 52c1e4537424e151469e8e67df07efe6
- 577497f9e9d4ea6070aa250b355dcfb1
- 578e16856061f6cb760b06b1735f9143
- 5ba950833dc55fe30f1e24cbcf1dea3c
- 5be87ec5a2f48483317a57ce120acc0e
- 5d9db5350e1ca2d9dacba75f4aa80ae0
- 609f595053d481c047d9c9b8c0f6b39c
- 63090a9d67ce9534126cfa70716d735f
- 6677b435a7455579bc063bd9f7cbe65e
- 6a1672401ffd7fb64dfe09a7a464067c
- 6aed3d8d53cb4b90ff0eda8803c7f1f5
- 6d0b710057c82e7ccd59a125599c8753
- 6e056456b2f40d2c47219c6db24d9541
- 6e201a9bb9945bdc816a7a9c2dcf73b9
- 6e79535f38248c7769365881c577df29
- 700b71690c7902dec10275a6ae320adf
- 75a3f8d143cf96c163106e21272ff170
- 77612466654702c7ed7c6b1c21cfaefe
- 77ac6332a5a4de5712b66949ac8bf582
- 77b4af2734782dc7fc10a6fd7978ae80
- 7822ff3d5008e0b870bb03ef8d2032dc
- 79157a3117b8d64571f60fe62c19bf17
- 7b478edc2b74d7ecdc6b1d9532c9e7f8
- 7c7d4dfac6a2628b9921405f25188fe3
- 7fcc03d062ac8aa2be8d7600b68fc53a
- 80a84624126b6d72ff5d1b25b80204c2
- 82118066cf5ee34e7956f8d288b725e6
- 82d841d7712ab0ee9f1bbb6b3d22821a
- 85c09c35f85edd1428208cd240a72bd8
- 8746077795ff9c33a591c7e261b7c7b8
- 8b4905b5d0142ebd67b103e2cdd047e3
- 8c377d184d88991388b7d0ed6cfb4a98
- 8c4975edb8c6be37c416d9b6483e9bd5
- 8f20155f0d9541f7cb5c3bbdc402498b
- 8f9d01dc7d1eb9ab388bf94f0b926e3b
- 9352dba6cc8ac67f22e62d7a1b5e51b6
- 93ce42f23b0800f257d355c0b10c8d79
- 942d540f7608752233800aeb66bc8dc7
- 977d5babf7112f1b6072eaa1f3f896b8
- 9895d0c19ac482f62c53ad8399f98b66
- 991ca8ecd3f4a70892cff4fb774af22b
- 99b54991fce2c6d17cdef7bbd60fda27
- 99f762d23451b9ababa95bce3f544fdb
- a4b79da85c6ee26d0ebea444a60db900
- a62850fd3d7dec757043ab33417e7a13
- a7b300d6cb0488358a80c512a64ff570
- a7fb4779f2a1c4a27da2e74616db7c31
- a82c6772f984a9b49a1512b913da4332
- ab4b8d26d389c76b3d4a85e2ccb9e153
- accc6633af50aea83024ab5a0861375b
- b0353610172416a9ffcd3e7fb7bae648
- b09a35b75700d11a251bdfc51b1d08e9
- b4183e52fb807689140ed5aa20808700
- b68915810f6de276a706e7f4c37645ea
- b6ee9daea4b2d849793e651603a1512d
- bab0b5bb50c349cefd9dedf869eb0013
- bb2113989478db0ae1dfbf6450079252
- bc162b6742aa1ea86a3b391d549ef969
- c21025561a3151f9eb2c728aab5a7a90
- c212af0c8a880697374e06b59376f991
- c3828ce2ed1453efaad442d150b79f6e
- c59eb65b0b237e39afed796c5b3db417
- c75fc659f257291c9ccc94c3ff4b5a83
- c818e4bca286c690156eff37daa2e209
- c86f8642560a6353ed2fe44f0c6b07e8
- c89d5bb8a36c0f2891b5a75834a7ad64
- c97b0753a263e042eb6e3c72b2f6565f
- cabaf29e9763d18b0d0dffbc576fdf3e
- cf8988662588c8fe943ecf42fc35e0b4
- d3947c239a07090deb7d4a9d21d68813
- d3e95c81d038cbf6efc5af3208313922
- d72b649df88d78441d5629af99fa1d40
- db1a697955f1140aed36864617f41425
- db2179161fa0fc1694bd7425d1e80a5d
- db6800cf6288ba0b7492f533f519ca24
- dbd9cbaeb27326ef2aead32292d70632
- dc6f128a5316fb9af66ea01190c63895
- e0d474af77e89bf1c2dbb7d7a5f8ace9
- e18078dca1a1f452b06ec0d9c30982b6
- e1956b827ef36a0dde5c42f2c26ac8b6
- e28f2f0546ef07bc3425528d813ec954
- e375b63a76daddff5741b340ae7bd6a8
- e3f106af3e45c480bf9e45eb21617083
- e51cbcf89a26686c62350bae371f8601
- e6f9d538fcdf46493df8ecb648f98d13
- e726520b3ad875b516df6c3d25476444
- e833910ab506b08db2a0e7e1313c6556
- ea71fcc615025214b2893610cfab19e9
- ec04e0d3eadf043a1219942051a2a147
- f02b13f9634604be5388b3c13c7cec8d
- f0d3cff26b419aff4acfede637f6d3a2
- f18d216b070744097846f96877865d1c
- f5884141b04503ee6afb2a17fd7761fc
- f93fee328737cb97d83701a4a50eaefd
- fb75dde8f9e473d019a6cbdbb0d2283a
- fc5f0cc23280547e1d727534649b3dfa
- ff2558571ee99ed4aec63a3980719034
- ffe01dccc1aa70c80ebb1b9f8fcadf1f