Emotet Botnet IOCs - Part 14

Спам-ловушки Trustwave SpiderLabs выявили увеличение количества угроз, упакованных в защищенные паролем архивы, причем около 96% из них рассылаются ботнетом Emotet. В первой половине 2022 года Spiderlabs определила защищенные паролем файлы ZIP как третий по популярности формат архивов, используемый киберпреступниками для сокрытия вредоносных программ.

Содержание

Замаскированное под счет-фактуру вложение в формате ZIP или ISO содержало вложенный самораспаковывающийся архив (SFX). Первый архив представляет собой SFX RAR (RARsfx), единственной целью которого является выполнение второго RARsfx, содержащегося внутри него. Второй RARsfx защищен паролем, но, несмотря на это, для извлечения и выполнения его содержимого не требуется вмешательство пользователя. В некоторых образцах вложенный SFX-архив заключен еще в один архив.

Emotet Botnet IOC

Indicators of Compromise

SHA1

0a36cad9f18249d42e05685b00330583c20d0bc3
0b9381ffc9ae3a7749484d0ad788e91452dae86b
1118a8a12cd2d59a32a8b6dcfff279f20351fb9b
206ed91982f2011ec20b76cb07aa7bd48e6f81cc
325e84243e2e901c3caaeac533d8931e5c15f043
48741c6e3e736fd5083f0def8e3741ce4e60b944
4c0f487d60fc4f1adb29128ec9fd044c10e8653f
541bf4e5fa5fbec25374bef131c59070da9d3c4a
5f0c88d8be30996e3d623e54f49a9e00adef3a2e
78f4166b7611428e076adcdccda34f73dc95ce37
88444e90913017ba77cc06fecca3e659840633c6
925e4a825c139df9535a4d4649a4cf64656e3194
9a5021d6679e2e8ecf900d6b5ff2cda9715e83db
a602e13cce53ce9d589d9c6386058204bd3ce978
b4e93ed6ed7038cdd70f4791b73eed849f49275b
c29c5382074f64176fe3904d24492a4dac45c123
cc63815b9b77fcdd7e3efaab3664ca5db15328aa
cf00d27af07a40613a7932cd3090d89a8c6b0569
d9a78f491af45bb3dc02e764217d89dd95f4f17c
db7a08ab199f7f341f90d05a6b09846c6d43f8cb
f625a44582e4c790f3a90e5a7b896aa660166a60
ff86161334b70bcc2a5d638ad2ab2bf3980dc457