XCSSET Malware IOCs

security IOC

Угрожающие субъекты, стоящие за вредоносным ПО XCSSET, вели себя относительно тихо с прошлого года. Однако новая активность, начавшаяся примерно в апреле 2022 года и нараставшая в период с мая по август, показывает, что субъекты не только адаптировались к изменениям в macOS Monterey, но и готовятся к уходу Python, неотъемлемой и важной части их текущего инструментария.

XCSSET Malware

С момента появления XCSSSET авторы постоянно использовали два основных инструмента для обфускации как дропперов, так и загруженных файлов: SHC и скомпилированные только для выполнения AppleScripts, соответственно.

SHC-компилированные сценарии оболочки непрозрачны для традиционных инструментов статического сканирования и содержат лишь несколько человекочитаемых строк.

Поскольку все SHC-компилированные двоичные файлы, как легитимные, так и вредоносные, содержат эти же строки, сигнатурные сканеры не могут их различить.

Indicators of Compromise

IPv4

  • 45.82.153.92

Domains

  • adobefile.ru
  • appledocs.ru
  • Cosmodron.com
  • gismolow.com
  • gurumades.ru
  • kinksdoc.ru
  • melindas.ru
  • superdocs.ru

SHA1

  • 0e1b2f01441e6e6fc8a48a7871e649d3647828cd
  • 127b66afa20a1c42e653ee4f4b64cf1ee3ed637d
  • 1396fdbff38b787d14b1135dcdfc367658669637
  • 25f8d7ac99e00c9d69679f2d9aca5954d2609a03
  • 263b243df32be6d9d9878c459d2fc6491342d547
  • 2a2330b13886ffe0e4fe54f7254008490814b5fa
  • 2a62d6bcac7b0c5e75f561458e934ec45c77699c
  • 2a6d37160f21ec13aa6c692a3ca3374db3d35e96
  • 2dbf06445a294b4f786501ef16ea4aabd8e1ad72
  • 3257a1f540455444a56975e7fd9cdb6f8148b828
  • 3de232d0a42959b20703ebb9d9376b3ef3d3015d
  • 3f35fd8306d4a05fadd9095acacd8d5f297a112e
  • 4c368635ecfee61a89203f3f0e84bfdd7d85073d
  • 4ffb268475e3816b22aadfb147bd7cd2f211e3d5
  • 5b66e4b1556ad03b4bf072d061de0606eabe8603
  • 5e673f4c494c424ae450f2ea5c0b066f912edccb
  • 672837de18d0e34f8b2a77bc2646b245671c83dc
  • 6c0b4e3e3bac36f3228e69ab1e53884f76f6828b
  • 6cf1ec6af6c6102c9d4929b1a83e0a463e737255
  • 73918b840384e485d009632fdf1a396758d7c515
  • 73d9a443933fb0c40dde3065ec77adad35a5c49a
  • 760676a2e05d25959dee1f9ffaf3042e5f2e0f31
  • a1449c5fbf8cf126502bd68a8e8d657b3dcfd87a
  • a57b73190525a729d821b6aed6849084fc1beddd
  • b66dbd55ce42a61cfedd06f31725b7f56d10d548
  • bd13d22095d377938c50088e59fa3079143cb0f2
  • bde20788e2656454052aae9baf2f4d2b7c256c9d
  • c2a90c68ad9d93139ebce981a409beae5d7de8bf
  • cbf08fae71fcd46cc852fad7502685466c40e168
  • d70f4974bd531af674c5c2da3bc3c7d1a0ac9b54
  • dde87aefcaf788f770e5e1229db4fe73873e1c36
  • e2de10a6b517e298cb2e7da150224dfe7e5717a7
  • e4b6c56faa97493dc0f0f7c4fc2196096ef66513
  • f3a747bf10763d7d8c1cd9ccedd1e25ee195fce3
  • f4099a0884d3f1bf5602c8c6ba5265b76d7f4953
  • fb29c9daa6fdeaa945446fe7cde185d51296dc7d
  • fd82b821fa2c23f2b88f64179e3a7a8905c1e40b

 

Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий