Gamaredon APT IOCs - Part 2

security IOC
Опубликовано

Cisco Talos обнаружила APT-активность Gamaredon, направленную на пользователей в Украине с помощью вредоносных LNK-файлов, распространяемых в архивах RAR.

Gamaredon APT

Эта кампания, являющаяся частью продолжающейся операции по шпионажу, которая была замечена еще в августе 2022 года, направлена на доставку вредоносного ПО для похищения информации на украинские компьютеры-жертвы и использует многочисленные модульные сценарии PowerShell и VBScript (VBS) как часть цепочки заражения. Infostealer - это вредоносная программа двойного назначения, которая включает в себя возможности для эксфильтрации определенных типов файлов и развертывания дополнительных бинарных и скриптовых полезных нагрузок на зараженной конечной точке.

Gamaredon использует фишинговые электронные письма для доставки документов Microsoft Office, содержащих удаленные шаблоны с вредоносными макросами VBScript. Эти макросы загружают и открывают RAR-архивы, содержащие LNK-файлы, которые впоследствии загружают и активируют полезную нагрузку следующего этапа на зараженной конечной точке.

Gamaredon APT IOCs

Indicators of Compromise

IPv4

  • 155.138.252.221
  • 162.33.178.129
  • 45.77.237.252

Domains

  • celticso.ru
  • kuckuduk.ru
  • pasamart.ru
  • xsph.ru

URLs

  • http://155.138.252.221/get.php
  • http://45.77.237.252/get.php
  • http://a0698649.xsph.ru/barley/barley.xml
  • http://a0700343.xsph.ru/new/preach.xml
  • http://a0700462.xsph.ru/grow/guests.xml
  • http://a0700462.xsph.ru/seek/lost.xml
  • http://a0701919.xsph.ru/head/selling.xml
  • http://a0701919.xsph.ru/predator/decimal.xml
  • http://a0701919.xsph.ru/registry/prediction.xml
  • http://a0704093.xsph.ru/basement/insufficient.xml
  • http://a0704093.xsph.ru/bass/grudge.xml
  • http://a0705076.xsph.ru/ramzeses1.html
  • http://a0705076.xsph.ru/regiment.txt
  • http://a0705269.xsph.ru/bars/dearest.txt
  • http://a0705269.xsph.ru/instruct/deaf.txt
  • http://a0705269.xsph.ru/prok/gur.html
  • http://a0705581.xsph.ru/guinea/preservation.txt
  • http://a0705880.xsph.ru/band/sentiment.txt
  • http://a0705880.xsph.ru/based/pre.txt
  • http://a0705880.xsph.ru/selection/seedling.txt
  • http://a0706248.xsph.ru/reject/headlong.txt
  • http://a0707763.xsph.ru/decipher/prayer.txt
  • http://heato.ru/index.php
  • http://motoristo.ru/get.php

SHA256

  • 139547707f38622c67c8ce2c026bf32052edd4d344f03a0b37895b5de016641a
  • 1cb2d299508739ae85d655efd6470c7402327d799eb4b69974e2efdb9226e447
  • 1ec69271abd8ebd1a42ac1c2fa5cdd9373ff936dc73f246e7f77435c8fa0f84c
  • 34bf1a232870df28809597d49a70d9b549d776e1e4beb3308ff6d169a59ecd02
  • 4aa2c783ae3d2d58f12d5e89282069533a80a7ba6f7fe6c548c6230a9601e650
  • 5264e8a8571fe0ef689933b8bc2ebe46b985c9263b24ea34e306d54358380cbb
  • 581ed090237b314a9f5cd65076cd876c229e1d51328a24effd9c8d812eaebe6a
  • 750bcec54a2e51f3409c83e2100dfb23d30391e20e1c8051c2bc695914c413e3
  • 78c6b489ac6cebf846aab3687bbe64801fdf924f36f312802c6bb815ed6400ba
  • 8294815c2342ff11739aff5a55c993f5dd23c6c7caff2ee770e69e88a7c4cb6a
  • a9916af0476243e6e0dbef9c45b955959772c4d18b7d1df583623e06414e53b7
  • be79d470c081975528c0736a0aa10214e10e182c8948bc4526138846512f19e7
  • ff7e8580ce6df5d5f5a2448b4646690a6f6d66b1db37f887b451665f4115d1a2
Похожие записи:
  1. Mustang Panda APT IOCs
  2. Gamaredon APT IOCs
  3. ModernLoader RAT IOCs
  4. Scarlet Mimic APT IOCs
  5. Metador APT IOCs
APT Cisco Talos Gamaredon
Добавить комментарий