CERT-UA 30 и 31 августа 2022 зафиксированы массовые рассылки электронных писем по темам "Технический чертеж" ("Technisches Zeichnen") среди украинских, австрийских и немецких организаций. Во вложении в электронное письмо находится IMG-файл (например, "Технічне креслення.img"), содержащий одноименный CHM-файл, открытие которого приведет к исполнению JavaScript-кода, который, в свою очередь, обеспечит загрузку и исполнение файла node.txt с помощью PowerShell.
Указанный файл содержит PowerShell-код, который осуществит декодирование, декомпрессию (Gzip) и исполнение DLL и EXE файлов. Файл EXE является вредоносной программой AgentTesla. Аналогичные рассылки также зафиксированы 11.08.2022, при этом электронные письма содержали вложение/тему "Договорная документация".
AgentTesla Spyware IOCs
Indicators of Compromise
Domains
- ftp.ssttekstil.com
- sackmeister.de
- ssttekstil.com
- academiadutygroup.com.br
URLs
- https://academiadutygroup.com.br/sticky.txt
- https://sackmeister.de/node.txt
- ftp://ftp.ssttekstil.com/
Emails
- a.bernsteiner@aon.at
- a.bindhammer@aon.at
- a.ehrnhofer@aon.at
- adv.rsnord@westafrance.com
- bondar_mob@ukr.net
- bonitet_ltd@ukr.net
- eric.fehling@t-online.de
- pro@ssttekstil.com
MD5
- 062e5d6aedf7c4fe4b6058be643b8153
- 1a090868b09e7e3693444d471c369f53
- 2b4122ee9268a8145484204364d9f8d8
- 2cffb660f00ee2192270871b22ed0cfa
- 2ea4c2a45e726b9549f2143ecd79a6b0
- 426986b949fab90f087762849f8d1f6f
- 4fdf3bcef29d971538db6123aa2b790a
- 86a25d9b475bae330de40c78009d8079
- a1a0d974b78dc4ee6a370473dd98ebf3
- c4f351ca77c677737b3cd4e315c73583
- cd9c91dc759bde5041aa2838e9cdb3fd
SHA256
- 0264c5832e9224ea2efc028ae6f06af86ab0035356ae17d3ed9e2e9bf1d8eef9
- 1a5c663ce00d4cf51ca41563f84184db0da405aa0a2004d12c8931af9f56e8de
- 3a1bdab276e6a89b79d90d09d348f21fb0a2df484922e68de667183add7a68f4
- 42a3649b09af5240e45cecceaf7f2687eccfa986644634e8cf101621eb85c8ff
- 4c8860ac0e41d9a8d311a632366ea15d245c2abe139f1ced0dbbfe87e974e852
- 72bcbaac804b9043831a570e2d39e63576138b3f849055a5f0162c0afad3e9cb
- 85752ce0ce2b21bebf1f8ce070d1c124d9941f84b021c3f68bd029f37a339d03
- 954e24d36e9e6949723a6c1b8f1274c9eb3efd50eb6328da9b9389d170382dfb
- 9569969db54356f6902ae907c4b4498fe4f11298468b758cb7d4479fa6f72a5b
- da6ec25b71a864691f14d0f05206a41d8048da20813078553a841154d37884df
- f307bb1e8bdf77afc88118d99d9cfbecd390e870c66645b3730ade8477bc23d4