AgentTesla Spyware IOCs - Part 3

security IOC
Опубликовано

CERT-UA 30 и 31 августа 2022 зафиксированы массовые рассылки электронных писем по темам "Технический чертеж" ("Technisches Zeichnen") среди украинских, австрийских и немецких организаций. Во вложении в электронное письмо находится IMG-файл (например, "Технічне креслення.img"), содержащий одноименный CHM-файл, открытие которого приведет к исполнению JavaScript-кода, который, в свою очередь, обеспечит загрузку и исполнение файла node.txt с помощью PowerShell.

Указанный файл содержит PowerShell-код, который осуществит декодирование, декомпрессию (Gzip) и исполнение DLL и EXE файлов. Файл EXE является вредоносной программой AgentTesla. Аналогичные рассылки также зафиксированы 11.08.2022, при этом электронные письма содержали вложение/тему "Договорная документация".

AgentTesla Spyware IOCs

Indicators of Compromise

Domains

  • ftp.ssttekstil.com
  • sackmeister.de
  • ssttekstil.com
  • academiadutygroup.com.br

URLs

  • https://academiadutygroup.com.br/sticky.txt
  • https://sackmeister.de/node.txt
  • ftp://ftp.ssttekstil.com/

Emails

  • a.bernsteiner@aon.at
  • a.bindhammer@aon.at
  • a.ehrnhofer@aon.at
  • adv.rsnord@westafrance.com
  • bondar_mob@ukr.net
  • bonitet_ltd@ukr.net
  • eric.fehling@t-online.de
  • pro@ssttekstil.com

MD5

  • 062e5d6aedf7c4fe4b6058be643b8153
  • 1a090868b09e7e3693444d471c369f53
  • 2b4122ee9268a8145484204364d9f8d8
  • 2cffb660f00ee2192270871b22ed0cfa
  • 2ea4c2a45e726b9549f2143ecd79a6b0
  • 426986b949fab90f087762849f8d1f6f
  • 4fdf3bcef29d971538db6123aa2b790a
  • 86a25d9b475bae330de40c78009d8079
  • a1a0d974b78dc4ee6a370473dd98ebf3
  • c4f351ca77c677737b3cd4e315c73583
  • cd9c91dc759bde5041aa2838e9cdb3fd

SHA256

  • 0264c5832e9224ea2efc028ae6f06af86ab0035356ae17d3ed9e2e9bf1d8eef9
  • 1a5c663ce00d4cf51ca41563f84184db0da405aa0a2004d12c8931af9f56e8de
  • 3a1bdab276e6a89b79d90d09d348f21fb0a2df484922e68de667183add7a68f4
  • 42a3649b09af5240e45cecceaf7f2687eccfa986644634e8cf101621eb85c8ff
  • 4c8860ac0e41d9a8d311a632366ea15d245c2abe139f1ced0dbbfe87e974e852
  • 72bcbaac804b9043831a570e2d39e63576138b3f849055a5f0162c0afad3e9cb
  • 85752ce0ce2b21bebf1f8ce070d1c124d9941f84b021c3f68bd029f37a339d03
  • 954e24d36e9e6949723a6c1b8f1274c9eb3efd50eb6328da9b9389d170382dfb
  • 9569969db54356f6902ae907c4b4498fe4f11298468b758cb7d4479fa6f72a5b
  • da6ec25b71a864691f14d0f05206a41d8048da20813078553a841154d37884df
  • f307bb1e8bdf77afc88118d99d9cfbecd390e870c66645b3730ade8477bc23d4

 

Похожие записи:
  1. AgentTesla Spyware IOCs
  2. CloudMensis Spyware IOCs
  3. DevilsTongue Spyware IOCs
  4. Armageddon APT IOCs - Part 4
  5. Распространение электронных писем с поддельным сканером от имени CERT-UA
AgentTesla CERT-UA Spyware
Добавить комментарий