UAC-0185 (UNC4221) APT IOCs

security IOC

Украинские власти раскрыли кибер-кампанию UAC-0185 (UNC4221), направленную на украинский оборонный и промышленный секторы с помощью вредоносных электронных писем выдавая себя за Украинский союз промышленников и предпринимателей (УСПП). В рамках кампании используются фишинговые письма, содержащие вредоносные гиперссылки, ведущие на развертывание инструмента удаленного управления MeshAgent с целью кражи учетных данных и получения несанкционированного доступа к военным и корпоративным системам.

UAC-0185 (UNC4221) APT

4 декабря 2024 CERT-UA получила сообщения о фишинговых электронных письмах, отправленных под видом ULIE, рекламирующих конференцию по переходу продукции украинской оборонной промышленности на технические стандарты НАТО. продукции на технические стандарты НАТО. Эти письма содержали гиперссылку, при нажатии на которую загружался вредоносный LNK-файл, который Через mshta.exe запускался файл HTA. В файле HTA использовались команды PowerShell команды для загрузки и выполнения дополнительных файлов, включая ZIP архив с тремя компонентами: пакетным файлом (Main.bat), другим HTA-файлом (Registry.hta) и исполняемый файл (update.exe). Эта последовательность завершилась выполнением файла «update.exe», идентифицированного как MESHAGENT, инструмент удаленного управления. инструмент удаленного управления.

Indicators of Compromise

IPv4

  • 136.243.237.26
  • 146.59.102.122
  • 176.57.212.217
  • 185.158.248.104
  • 185.225.35.75
  • 193.203.202.168
  • 217.144.102.219
  • 217.151.229.29
  • 45.147.179.185
  • 46.30.44.144
  • 5.181.156.72
  • 62.113.110.100

Domains

  • 212nj0b42w.web.telegram-account.host
  • 658pvbhj2k7veemmv4.web.telegram-account.host
  • accept-action.site
  • account-guard.site
  • account-saver.com
  • account-viewer.com
  • cancel-action.site
  • cancel-auth.site
  • check.sign-cert.com
  • check-active.site
  • cloud.account-viewer.com
  • cloud.god-le.net
  • clouddrive.world
  • confirm.account-viewer.com
  • confirmphone.site
  • defender-bot.site
  • delta.milgov.site
  • derzhposluhy.com
  • device.redirecl.com
  • dhl.redirecl.com
  • drive.redirecl.com
  • drive-share.site
  • emtserviceca.info
  • get.god-le.com
  • get.in-touc.com
  • get.mail-gov.com
  • get.sign-cert.com
  • god-le.com
  • god-le.net
  • google.drive-share.site
  • google.share-drive.site
  • group.kropyva.site
  • group.teneta.site
  • group-invitation.site
  • group-teneta.online
  • in-touc.com
  • i-ua.account-guard.site
  • ivanti.account-viewer.com
  • kropyva.group
  • kropyva.site
  • live.outloolc.com
  • mail.outloolc.com
  • mail-gov.com
  • mail-gov.net
  • mails.support
  • milgov.host
  • milgov.site
  • mirotrent.com
  • my.mail-gov.net
  • odwebp.com
  • outloolc.com
  • palantir.ink
  • passport-ukr-net.site
  • plntr.account-viewer.com
  • plntr.mirotrent.com
  • protect-password.site
  • qsrgh.site
  • qweasdzx.site
  • redirecl.com
  • share-drive.site
  • signal-confirm.site
  • sign-cert.com
  • spam.web-telegram.host
  • stellar.account-viewer.com
  • svc.odwebp.com
  • teiegram.host
  • telegram.check-active.site
  • telegram.defender-bot.site
  • telegram.qweasdzx.site
  • telegram.token-defender.cloud
  • telegram-account.host
  • telegram-auth.website
  • telegram-confirm.site
  • telegramm-account.site
  • teneta.group
  • teneta.site
  • token-defender.cloud
  • uspp.derzhposluhy.com
  • web.teiegram.host
  • web.telegram-account.host
  • web.telegramm-account.site
  • web.web.telegram-account.host
  • web-telegram.host
  • whatsapp.group-invitation.site
  • whatsapp.protect-password.site
  • whatsapp-confirm.site
  • www.accept-action.site
  • www.confirm-signal.site
  • www.google-drive.site
  • www.protect-password.site
  • www.qsrgh.site
  • www.signal-confirm.site
  • www.teiegram.host
  • www.telegram-auth.website
  • www.telegramm-account.site

URLs

  • http://185.225.35.75:30555/cc
  • http://cloud.account-viewer.com/tW018lIK/16_01.zip
  • http://delta.milgov.site/
  • http://device.redirecl.com/davwwwroot/downloads/lyst_02-1-437.lnk
  • http://device.redirecl.com/yS558pd/start.hta
  • http://get.god-le.com/Gm912cj/icon.png
  • http://get.god-le.com/hS483kf/Dack.png
  • http://get.god-le.com/hS483kf/Front.png
  • http://group.teneta.site/
  • http://group-teneta.online/
  • http://kropyva.group/
  • http://kropyva.group/qr
  • http://live.outloolc.com/mail_inbox=a098m
  • http://mail.outloolc.com/yS558pd/Back.png
  • http://mail.outloolc.com/yS558pd/Front.png
  • http://mirotrent.com:443
  • http://plntr.account-viewer.com/xS43HI3D/Back.png
  • http://plntr.account-viewer.com/xS43HI3D/Front.png
  • http://plntr.account-viewer.com/xS43HI3D/logo.png
  • http://plntr.mirotrent.com:443
  • http://svc.odwebp.com:443/agent.ashx
  • http://web.telegram-account.host/
  • http://web.telegram-account.host/#/login

MD5

  • 104cd6e96a9898462335b0e63766a983
  • 34d1bd73883fd4b1709f4a41af70a192
  • 490450f5d2f1cb617e02366bc389bb7b
  • 4dbd1ced8da2a4acec15cfd9be73bfcc
  • 4f8e66f060ea918637b5e2dfe7fff16d
  • 5883b5f221a9cb9dcdb4d7be923d4d98
  • 74f6bd1a80ebfeece1e65b441c2f46e2
  • 7b7ccd7899b0b3b52398df45faf85078
  • 80ad42b66b4fc841bfa4210e23a2e757
  • 882e5e17793b84ba2705b0e296777635
  • 92b698f674370120ec399ad47600477b
  • 99a0a704c31e84b0e8cb04c0f5ac2746
  • a5b1a7db7abf94163a2871d0d7359b49
  • bbb96f2781bc16813af398d4a1c5867a
  • c15e1d4892f10a62fec973d37805cc65
  • e4d2f6d160ed8e4a2abd024dc9385ae1

SHA256

  • 1ffcc81d9194d3f84c9056db6833c99182d0c47f501134cf11a7e20f76dd0833
  • 44cdc03e755bf1e7e60b460ab70834f44f7e4e9cb28591ffab99ca1517687ab2
  • 57f5d4e69fb409ca448dcf7c281e130c66aff37178c827c4bdd6eebace0145e4
  • 6669f6cff75f27db3580ab76e4391245f8028c671198174a4ab0abbfc217f27c
  • 689c7b5a63740593af5f931edccd04e5a0af4592f2159da1dc6ff9fb85724d6d
  • 6c8ff9dde75352c94afac0045c6fecc5c27181a941c371d165be5dc6f167969c
  • 6f4a305a1f5dbb11341986ad354aa5226afcb67b464d4914d9b3ec0c6cf7d887
  • 71a27bc19cd4c3af587071d97afe205f1224f8a71d668683d1fba1969ea241a3
  • 831548a4bf76e77acb9858fffd2bb9a03b210f04f2b615b916e1a086e5421202
  • bf576d4fcbecdff07f71af2ace12cc53a2e03b16c464d4aefb393c4e719ddb17
  • cb86993c83c30cd96c8b8fccd5236e5b5949ed400404c33ab74f173f7a9d53b9
  • d2d5052b0c703a8b148aa6446d1a199aa59c590c5b534e45b03f1e8e74338c2b
  • de66a95291321c8877b1c403357147d0c636c1e69f487579f8a2978a7ad7e2eb
  • e763ba973e455e684cba6649461e41f488a4a041b23442846c82c532e3a78806
  • ff9002de29b7037bcf2d496a04df98aea4e8f81f88edf409cb65173e3cc194bd
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий