Armageddon APT IOCs - Part 3

security IOC

CERT-UA отслеживается активность группы Armageddon. В течение первого полугодия 2022 года основным способом реализации злонамеренного замысла является распространение средствами электронной почты (со скомпрометированных аккаунтов и на частные электронные адреса) HTM-дроперов (в том числе, в UTF-16 кодировании), инициирующие цепь доставки GammaLoad.PS1 на компьютер жертвы.

Armageddon APT

Целью злоумышленников, среди прочего, является похищение файлов по определенному перечню расширений, а также аутентификационные данные Интернет-браузеров, для чего применяется GammaSteel.PS1 и GammaSteel.NET соответственно. По идее, GammaSteel.PS1 является PowerShell-реализацией ранее используемого HarvesterX.

Кроме того, одной из тактик злоумышленников является поражение файла шаблона C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Templates\Normal.dotm с помощью макроса, код которого обеспечивает генерацию URL-адреса и его добавление в создаваемый документ в виде ссылки (так называемый "Remote template injection"). Указанное приведет к инфицированию всех документов, создаваемых на компьютере, и их дальнейшему непреднамеренному распространению пользователем.

Как правило, для обеспечения персистентности и запуска пейлоадов используются запланированные задачи, ветвь реестра Run, а также переменные среды. Активно используется PowerShell (powershell.exe) и wscript.exe, mshta.exe.

Indicators of Compromise

IPv4

  • 138.197.199.151
  • 139.59.166.152
  • 144.202.61.174
  • 157.245.99.132
  • 159.203.11.73
  • 168.100.10.184
  • 178.62.108.75
  • 192.241.133.108
  • 194.180.174.73
  • 45.61.138.226
  • 45.61.139.22
  • 45.77.196.211
  • 45.77.237.252
  • 66.42.102.21
  • 70.34.218.135

Domains

  • atlantar.ru
  • bubenci.ru
  • callsol.ru
  • clipperso.ru
  • cooperi.ru
  • detroito.ru
  • faithfully.nab
  • farafauler.ru
  • fishitor.ru
  • flayga.ru
  • ganara.ru
  • hawksi.ru
  • hofsteder.ru
  • kilitro.ru
  • kurapat.ru
  • leonardis.ru
  • lnasfe.ru
  • lopasts.ru
  • mafirti.ru
  • metanat.ru
  • mitlubald.ru
  • moolin.ru
  • motoristo.ru
  • paparat.ru
  • pasamart.ru
  • qkcew.ru
  • rncsq.ru
  • tarlit.ru
  • tbwelo.ru
  • wicksl.ru
  • xcqef.ru

URLs

  • http://138.197.199.151/get.php
  • http://139.59.166.152/get.php
  • http://144.202.61.174/get.php
  • http://157.245.99.132/get.php
  • http://159.203.11.73/get.php
  • http://178.62.108.75/get.php
  • http://192.241.133.108/get.php
  • http://194.180.174.73/1.txt
  • http://194.180.174.73/pswd.php
  • http://45.77.196.211/get.php
  • http://45.77.237.252/get.php
  • http://66.42.102.21/get.php
  • http://70.34.218.135/get.php
  • http://atlantar.ru/get.php
  • http://lover.printing82.detroito.ru/DESKTOP-P5BRFLE/luncheon.nab
  • http://motoristo.ru/get.php
  • https://45.61.138.226
  • https://t.me/s/chanellsac
  • https://t.me/s/digitli
  • https://t.me/s/zalup2
  • https://t.me/s/zapula2
  • https://t.me/s/topnewsas
  • https://t.me/s/chabgei
  • https://t.me/s/toporsa

MD5

  • 136bd98383e5b3e06b63f2d7c72a3d4d
  • 1bba824db40a7ce52313ed76b55ac5fd
  • 20531cf42e4f44a96c4aeb4cd7e2d70e
  • 3376d2b5e6f99d68824b93bad33e4884
  • 396606ccd506b565d8590cae99be4950
  • 54cfc650263a61a5c372dd8b4fa6e9e5
  • 66d7796b61ddac70f748cbc1ff26dfef
  • 6c6fbdd3dcf6919d6d2aff8065892b2c
  • 7622a8f0bb0b97e17e186758f730af2d
  • 7d200a3eb82b9b3c60daa0866f9b6db9
  • 7e5ea867d5f4ed45dd26e304cef98678
  • 7f0270c87e1d14d95c51cd303dbab195
  • 82e0e0838c6c8abf103d4e5dab78b703
  • 83b3fd87ee87be5708326f99d4db3bbd
  • 859278e356de512859cd5bb94d09e9e4
  • 897c859e25576146f4e03329f076bd40
  • 904803767f7d3c8f2f947f40f8ba6272
  • 94031409d9f552e174dcc66e2b3bd45b
  • 9428c3fb7d4ae783a348561d5fa7b39e
  • 949d29f97c11abeab41075bf2a6e9dfd
  • 9da690670ff22a610f632251538888c4
  • 9db94f4c9dba8adb2c13f1962c1fcaa6
  • a1b63c92db35c90e1058813919446c21
  • a34a506a965669daf00075c5a22f7187
  • a73326f0373131fdd4814b9fc67c7e34
  • afa8f2b0ea413c568549360e8dfebe0a
  • b6840f52a5c655d22c70f14333238409
  • b8686b1038a1f4c162c1f0454169fec8
  • c5ab39da6f015a26edb916a0e37b9d57
  • db5606f0010bb7fdc1e10174055b0f93
  • dc7266e0eed4a67e1bea6e044c114387
  • df887652a92d1103d5131aa68757b2cc
  • e45eeb97da3155179fb1c626ae930eda
  • ea8c0a9bccd9fd91b78e06a2a58b559b
  • f046e20e2429a47194cf7cb76db1dfd2
  • ffb49d24a6691bdb3f5f58a632ac4447

SHA256

  • 00fe49d9fde36aace2e9c35962ac11f8595b8452d84ba02f4511754ced831d66
  • 1113fc222132460fe481ed0a62fb3fe1426bc920cdb01d334c7a7a6ef952dfee
  • 143cc8dade3ac835c9114333e05544b52dc57a1273cbdd4aca38253a710c92ab
  • 1928ea04a52ea5ced87305cc001e693385ecbb8d3b4c64c1288d4b223de841dd
  • 1b59868b460359f46c6ae0a01b6f34c89a33b79992a03573fc40bd3c501cbea4
  • 24fe5b916433ae295685dddcc5c808fb4cd3d3a2c3d999b721f4e650773b1ed4
  • 2cb17eb3450b4cfad148427986410cda69d47a124a7dea43c577a55569ff3761
  • 2dfef7c52c05c3b88818edd7764ef1f1d41c1450918441e6a5d8b1518b80ac3e
  • 430206ba1fbd0c869b71608ad1808febfb067e086d0b330225b5afcddc1af352
  • 452d40893e9973ec5e4779ea830320d80999b09a36113b7d86de866a02823a3c
  • 564aba6e5366347b1e522b2af7a46fa54e6d23af4ce17b2dd3a5d45d925c7aa4
  • 6cb0ef2538cd074fbcccca5a96bb21538529220eeeeaca63e06a18cbbc6a9eb4
  • 6cccc179db19c405cc313f60d3bb09e00f7b273ec3c6ddf03ae4cba3fcac961d
  • 6f2004a5b3f4f1c84c0e0e08181cfb8bbc0f50617e58d57cecddf4789587880a
  • 788dc18de55d73027011a0b109b4b795e6ae485bdda7dd07deecab6af386170c
  • 79c340f1d8c78b96d4e92a78d9c407494769df79ab491dfe2b1955f26af4e388
  • 7d2c607bb9627e14d572356ff653b587ea0d7f7b2c1f4ab45bb979b81f9369ae
  • 7e3cfa63b31ed9e4606e43b29a704924a27b62d6b9a1360b462d9998deed549f
  • 81d8c20a19e1c2c3e5bfd6f8a39499321f42b07f6b94c9e0bb98fd6cfd4355a8
  • 88dc766c51f20c93b670bd67b543b70e8d627c9afc041ee74aa6b64c59eb1c7d
  • 968f841df2fd5b7458d15569b756088691e6d4a04e5f6f22df1c773e1fe35129
  • 9b81fbe9f7157e7873862fe7fabd9df5fdb8197bf1cc01b5e34cbebf5ff0de13
  • 9c724d00f28b3453e283e5b0ef5c8455bb61d4c902c53cfb38f07ffb4e17e18d
  • a0c2429616e7bf8a36951d45cbc72a1eab4d4a1a1e8266753a75bdd683737814
  • a2361ca9fd84fd41d62628e2310317831f47f8e973c2bda24dadc0972fb983d6
  • afcb200cf4a646397f67c37d396cd5573db2575ae945b3251dfb6d285d1e6724
  • bcb63de0b16c449b054982ad1d4c23810a396e061ae45801df4d64acf4e82674
  • c172c8733c92d914574290eb46d8a6c1b49387d8d4dceafc3e13d953395c9710
  • c19dbecf59908f530a63705af62a3596531f7eecbb971a2926670fb4c0697a2c
  • c82728665fafb66828f3fe2d9ee28b2e670e958abc1f5dda6c5e460db2502207
  • cb81b6516f13844c653a9fcbbbeed099dde5be307ec66523be7678d577dca477
  • dcb69e1c9a6bff950481cf1f493b3e9665133e9afae528f0d38d72e83607a6d0
  • f1f4ed4122564c90b473617d9989a2a90af1d93c4b75c8cfecd564ff71f803a0
  • f2f6077597d1fdb84bbb35aebd169af522767bc3a6aae58e778c429626f376a3
  • f628fa53fc3f91c1d812246291b3a188904ab091c735e8dc7ed644103a0eb5c6
  • f96489503934b654e00cbd0c48845d66aaf3b91f5bd53fd05d7ecfc48a66dc20

Paths

  • %LOCALAPPDATA%\_profiles_new.ini
  • %TMP%\micro.txt
  • %USERPROFILE%\decay.bmp
  • %USERPROFILE%\dedicate.exe
  • %USERPROFILE%\dedicate.ini
  • %USERPROFILE%\des.nds
  • %USERPROFILE%\Favorites\judge
  • %USERPROFILE%\NTUSER.DAT.TM.defect.exe
  • %USERPROFILE%\NTUSER.DAT.TM.defect.ini
  • %USERPROFILE%\NTUSER.DAT.TMContainer.f4v
  • %USERPROFILE%\ntusers.ini
  • C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Templates\Normal.dotm
  • C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Шаблони\Normal.dotm
  • C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Шаблоны\Normal.dotm
  • C:\Windows\System32\Tasks\autowake
  • C:\Windows\System32\Tasks\creditcard.session
  • C:\Windows\System32\Tasks\finance.create
  • C:\Windows\System32\Tasks\finance.session
  • C:\Windows\System32\Tasks\MsCtfMonitor
  • C:\Windows\System32\Tasks\Preferences Style Configurator
  • C:\Windows\System32\Tasks\regidlebackup
  • C:\Windows\System32\Tasks\ScheduledDefrag
  • C:\Windows\System32\Tasks\session.finance
  • C:\Windows\System32\Tasks\Wikipedia Search Tools
  • C:\Windows\System32\Tasks\winsparcontrols
  • C:\Windows\System32\Tasks\КОМПРОМАТ.LNK
  • C:\Windows\System32\Tasks\КОРЗИНА.LNK
  • C:\Windows\System32\Tasks\МОИ ФОТО.lNK
  • C:\Windows\System32\Tasks\НА ДОКЛАД.lNK.lNK
  • C:\Windows\System32\Tasks\НЕ СМОТРЕТЬ.lNK
  • C:\Windows\System32\Tasks\ПОРНО.lNK
  • C:\Windows\System32\Tasks\РАЗОБРАТЬ.lnk.lNK
  • C:\Windows\System32\Tasks\ХЛАМ.lNK.lNK
SEC-1275-1
Добавить комментарий