Warzone RAT IOCs

security IOC

Лаборатория FortiGuard Labs недавно обнаружила электронное письмо, выдающее себя за письмо от правительства Венгрии. В нем пользователю сообщается, что к письму прилагаются новые учетные данные для входа на правительственный портал. Однако вложение представляет собой заархивированный исполняемый файл, который после выполнения извлекает Warzone RAT в память и запускает его. Через несколько дней после нашего первоначального обнаружения Венгерский национальный центр кибербезопасности выпустил предупреждение об этой атаке.

Злоумышленник использовал хорошо составленное поддельное правительственное письмо в качестве приманки для выполнения вложенной вредоносной программы. Приманка хорошо продумана, так как она относится ко всем жителям Венгрии, которые пользуются онлайн-порталом администрации. Это, а также точность языка, использованного в электронном письме, может указывать на то, что в атаке участвуют местные субъекты.

Матрешка из встроенных двоичных файлов .NET со все более сложной обфускацией поддерживает тенденцию, согласно которой злоумышленники все больше полагаются на современные методы обфускации. Это приведет к тому, что реверс-инженерам придется тратить больше времени на деобфускацию и анализ вредоносного ПО.

Использование Warzone RAT в качестве конечной полезной нагрузки также подтверждает растущую зависимость киберпреступников от услуг MaaS. Мы наблюдаем аналогичную тенденцию в образцах вымогательского ПО: популярность поставщиков услуг Ransomware-as-a-Service растет.

Indicators of Compromise

IPv4 Port Combinations

  • 171.22.30.72:5151

SHA256

  • 21d09c77de01cc95209727752e866221ad3b66d5233ab52cfe5249a3867ef8d8
  • 27743b5b7966384cc8ef9cfef5c7a11c8b176123b84c50192926c08ab7e6d7d7
  • 66319bf905acac541df26fecc90843a9a60fdbc1a8a03e33f024088f586cb941
  • 8b533ffaed24e0351e489b14aaac6960b731db189ce7ed0c0c02d4a546af8e63
SEC-1275-1
Добавить комментарий