Cisco Talos обнаружила APT-активность Gamaredon, направленную на пользователей в Украине с помощью вредоносных LNK-файлов, распространяемых в архивах RAR.
Gamaredon APT
Эта кампания, являющаяся частью продолжающейся операции по шпионажу, которая была замечена еще в августе 2022 года, направлена на доставку вредоносного ПО для похищения информации на украинские компьютеры-жертвы и использует многочисленные модульные сценарии PowerShell и VBScript (VBS) как часть цепочки заражения. Infostealer - это вредоносная программа двойного назначения, которая включает в себя возможности для эксфильтрации определенных типов файлов и развертывания дополнительных бинарных и скриптовых полезных нагрузок на зараженной конечной точке.
Gamaredon использует фишинговые электронные письма для доставки документов Microsoft Office, содержащих удаленные шаблоны с вредоносными макросами VBScript. Эти макросы загружают и открывают RAR-архивы, содержащие LNK-файлы, которые впоследствии загружают и активируют полезную нагрузку следующего этапа на зараженной конечной точке.
Gamaredon APT IOCs
Indicators of Compromise
IPv4
- 155.138.252.221
- 162.33.178.129
- 45.77.237.252
Domains
- celticso.ru
- kuckuduk.ru
- pasamart.ru
- xsph.ru
URLs
- http://155.138.252.221/get.php
- http://45.77.237.252/get.php
- http://a0698649.xsph.ru/barley/barley.xml
- http://a0700343.xsph.ru/new/preach.xml
- http://a0700462.xsph.ru/grow/guests.xml
- http://a0700462.xsph.ru/seek/lost.xml
- http://a0701919.xsph.ru/head/selling.xml
- http://a0701919.xsph.ru/predator/decimal.xml
- http://a0701919.xsph.ru/registry/prediction.xml
- http://a0704093.xsph.ru/basement/insufficient.xml
- http://a0704093.xsph.ru/bass/grudge.xml
- http://a0705076.xsph.ru/ramzeses1.html
- http://a0705076.xsph.ru/regiment.txt
- http://a0705269.xsph.ru/bars/dearest.txt
- http://a0705269.xsph.ru/instruct/deaf.txt
- http://a0705269.xsph.ru/prok/gur.html
- http://a0705581.xsph.ru/guinea/preservation.txt
- http://a0705880.xsph.ru/band/sentiment.txt
- http://a0705880.xsph.ru/based/pre.txt
- http://a0705880.xsph.ru/selection/seedling.txt
- http://a0706248.xsph.ru/reject/headlong.txt
- http://a0707763.xsph.ru/decipher/prayer.txt
- http://heato.ru/index.php
- http://motoristo.ru/get.php
SHA256
- 139547707f38622c67c8ce2c026bf32052edd4d344f03a0b37895b5de016641a
- 1cb2d299508739ae85d655efd6470c7402327d799eb4b69974e2efdb9226e447
- 1ec69271abd8ebd1a42ac1c2fa5cdd9373ff936dc73f246e7f77435c8fa0f84c
- 34bf1a232870df28809597d49a70d9b549d776e1e4beb3308ff6d169a59ecd02
- 4aa2c783ae3d2d58f12d5e89282069533a80a7ba6f7fe6c548c6230a9601e650
- 5264e8a8571fe0ef689933b8bc2ebe46b985c9263b24ea34e306d54358380cbb
- 581ed090237b314a9f5cd65076cd876c229e1d51328a24effd9c8d812eaebe6a
- 750bcec54a2e51f3409c83e2100dfb23d30391e20e1c8051c2bc695914c413e3
- 78c6b489ac6cebf846aab3687bbe64801fdf924f36f312802c6bb815ed6400ba
- 8294815c2342ff11739aff5a55c993f5dd23c6c7caff2ee770e69e88a7c4cb6a
- a9916af0476243e6e0dbef9c45b955959772c4d18b7d1df583623e06414e53b7
- be79d470c081975528c0736a0aa10214e10e182c8948bc4526138846512f19e7
- ff7e8580ce6df5d5f5a2448b4646690a6f6d66b1db37f887b451665f4115d1a2