RomCom Backdoor IOCs

security IOC

CERT-UA 21.10.2022 выявлен факт распространения электронных писем, якобы, от имени Пресс-службы Генштаба ВСУ со ссылкой на сторонний веб-ресурс для загрузки "приказа". На упомянутой веб-странице размещено сообщение о необходимости обновления программного обеспечения (PDF Reader). В случае нажатия на кнопку "ЗАГРУЗКА" на компьютер будет загружен исполняемый файл "AcroRdrDCx642200120169_uk_UA.exe".

Учитывая использование бэкдора RomCom, а также другие особенности связанных файлов, CERT-UA считает возможным ассоциировать обнаруженную активность с деятельностью группы Tropical Scorpius (Unit42) aka UNC2596 (Mandiant), ответственной за распространение Cuba Ransomware

Indicators of Compromise

IPv4

  • 45.158.38.74
  • 45.87.155.99
  • 69.49.231.103

Domains

  • aspx.io
  • gov.mil.ua.aspx.io
  • mil.ua.aspx.io
  • mill.co.ua
  • notfiled.com
  • ua.aspx.io
  • www.get.adobe.com.aspx.io

URLs

  • http://notfiled.com:4444/
  • https://www.get.adobe.com.aspx.io/reader/download.php

Emails

  • s.l.sinkewitch@ukr.net

MD5

  • 04972228302e569da856e4fa45f679ed
  • 05eaab1fb0ef4a9f22e9d21439e9bd90
  • 2630e8d2216a99e91fd5247decba3127
  • 2896c334f4ef21aec24596ae13f9b692
  • 32b4d8b58dde0bdc372dbb41a856c46c
  • 3d9022126f8e43eb0e9d041b05c7fa54
  • 4c1579c6a14bb8f3985be8a1a83c731c
  • 5f5c18e98e5c8a5a50a1e122221f61dd
  • 62d99110a03c33157a2c844ed5ddec11
  • 66ecb729fd1993d3f54e2e0936eb3515
  • 6d7a47c27cf381cf386e311e6363020f
  • 71d0715284a402aaf5dc2a1158d2188e
  • 74d9ecec3c02370b5606ab354893d7b3
  • 879a0684646a0fe6897b2b5637abaf8a
  • a5d08548d5a1d72f5c42dfd3275efe39
  • a785462b81ad66922c7128b0fe40b448
  • c78f9b945b91fee7b2d9d4d41e7dade5
  • dba03c29dd6099af5aae7a1163a8fd5e
  • de239ac43508c4fd4c9069a9b6a4a3f8
  • e699ff001dad735130cca18d832442a3
  • ef2483810ed58dbfee7568be65a48872
  • ef96b8c7139d6014dc84a21b433f504a
  • f206e4c4c0b21ea47fb51d4f04c42d61
  • f31620e7e22a30f408e5d683922f5029
  • f77af383bbec2e637e1d42efea742e8f

SHA256

  • 03965aeccf475029ea06ff400b34dfd0e19bcf04403bfd539e11c60aaab11343
  • 05681ff7cae6b28f5714628a269caa5115da49c94737ce82ec09b4312e40fd26
  • 068117b406940ac510ed59efd1d7c7651f645a31bd70db6de16aba12c055aae6
  • 28950cff484550312f2c91e17d7da89300981f17b19a7cd9c5432a4b76e281d2
  • 28b2a0f5441a5c50c73bb2044e48c7e404b848b84da9d1043771c783e17647d8
  • 3e3a7116eeadf99963077dc87680952cca87ff4fe60a552041a2def6b45cbeea
  • 40c29c2e691f28844092da318ef557f518b2e34b80529c4a12affad2e49958b0
  • 494b43198db467f506e9857f39ebe8f8bf6d871776eba092a7e2f2140046e16d
  • 4f4949f7203b1d0b93adfabde5ef9d86cd8921f8524534fb4f2c1d5cd5cd10b4
  • 4fc9202ff84ef84b8c5e6140b66ac3d04570daf886a7f1ae31661ade882f963e
  • 59f0c3b7890f11217ad37764f225cd1c9d27747495d80dadde40b78edfbfa21e
  • 61e349518ca3f10d1e7aae0be95bc43dc23843c8acf177831cdfd48f26a07c72
  • 64a4a5d818fa030b5f2c4e1babaee4c58d2677e9ef3a0ecf1d99070f186e041f
  • 71b83ad71745cd7bf5a367694dbecff620367d9019c6baabbf794376360f9a06
  • 892d7725d798a0bea0a80245057183dbf53dceb729985de2d1653316b72b3fde
  • 983833334d168cd4274467f48171489e019b86b51e687738565a93dd3f58d0aa
  • 997e54360fdc3d45f8fb2612b2936394d20e8ae84a0dd073562ba9d6ea5825ad
  • a2511c5c2839bfbdf9c0f84f415d5eae168456e5d3f77f1becdbcd69fba4daa4
  • ac800a17dced2dcaa6be68dd0ac09e38b10c5e1c7ac0623bcb923cb17e447c55
  • bd46cdd2f058697f7f13cfd958c2be9d132d72844c8d2cf1c76463087f785187
  • c116a0aafdc2765e38b4f5efdf89960997abf0db81daa8f5380ce3c893e9af96
  • c149474f97140c3381bda3ad2451f253e08e7ad4be76a68ac3a6f15bc4bd4e63
  • e80d80521238008bf6f429e072eaf6030c06e2d3123d03ea9b36f5a232a1ec90
  • f59b81fda6ba719cefa74145e15d7044fb9da1faa8f09ce912e83a8a7ae60bb6
  • f94998b90a28c678e4ed6bdf851f339e02a58369435b20ad62858e0ea5bc8eba
SEC-1275-1
Добавить комментарий