UAC-0098 Groups IOCs

security IOC

Google Threat Analysis Group начала активно отслеживать UAC-0098 после того, как в конце апреля 2022 года обнаружила фишинговую кампанию по рассылке AnchorMail (под названием "LackeyBuilder"). AnchorMail - это версия бэкдора Anchor, использующая простой протокол передачи почты (SMTPS) для командно-контрольной связи (C2). Инструмент, который, по оценкам, был разработан группой Conti, ранее был установлен как модуль TrickBot. TAG удалось связать эту активность с предыдущими фишинговыми письмами, направленными на Украину.

Indicators of Compromise

IPv4

  • 84.32.190.34

Domains

  • baiden.top
  • baidenfree.com
  • blinkin.top
  • donaldtr.com
  • gov.uz.ua
  • kirbi.top
  • kompromatua.info
  • microsoftua.com
  • starlinkua.info

URLs

  • http://5.199.173.152/ked.dll
  • http://64.190.113.51:8000/index.html
  • http://84.32.190.34/KB2533623.exe
  • http://storage.googleapis.com/cor1krp299kh13.appspot.com/
  • http://storage.googleapis.com/xpd9q3z05awvw4.appspot.com/
  • https://drive.google.com/file/d/19ZtX3k38g2OXQnFkEj3JH4EiI_vUqgnK/view?usp=drive_web
  • https://dropfiles.me/download/af46b89ae667c0d0/

Emails

  • support@starlinkua.info
  • jurnalist@kompromatua.info

SHA256

  • 08d30d6646117cd96320447042fb3857b4f82d80a92f31ee91b16044b87929c0
  • 1f3c5dd0a79323c57ad194a49eebaaf2f624822df401995e51a4c58b5a607a45
  • 8f7e3471c1bb2b264d1b8f298e7b7648dac84ffd8fb2125f3b2566353128e127
SEC-1275-1
Добавить комментарий