Armageddon APT IOCs - Part 4

security IOC

CERT-UA с 07.11.2022 фиксируются рассылки электронных писем, якобы, от имени Госспецсвязи, с вредоносной ссылкой. В случае перехода по ссылке на ЭВМ будет загружен HTML-файл, содержащий JavaScript-код, который обеспечит создание на компьютере жертвы RAR-архива, например "08.11.2022.rar".

Упомянутый архив содержит файл-ярлык "Засоби ТЗІ, які мають експертний висновок про відповідність до вимог технічного захисту інформації.lnk", открытие которого приведет к загрузке и запуску HTA-файла, что, в свою очередь, повлечет создание запланированной задачи и дальнейший запуск VBScript-кода. Наконец, на компьютер будут загружены другие вредоносные программы, в том числе, для похищения файлов.

Рассылка электронных писем осуществляется с помощью сервиса @mail.gov.ua. Кроме того, как и раньше, для определения IP-адреса сервера управления используется либо сторонний сервис (cloudflare-dns[.]com) или Telegram.

Armageddon APT IOCs

Indicators of Compromise

IPv4

  • 154.111.181.171
  • 173.199.90.103
  • 45.32.171.4

Domains

  • ardeas.ru
  • arhiv.ua-cip.org
  • civh.ru
  • hilr.ru
  • info-cip.org
  • rubidiumo.ru
  • shapurt.ru
  • tzi.info-cip.org
  • ua-cip.org

URLs

  • http://arhiv.ua-cip.org/08.11.2022.arhiv
  • http://tzi.info-cip.org/07_11_2022.xhtml
  • https://civh.ru/08.11/band.rtf
  • https://cloudflare-dns.com/dns-query?name=
  • https://hilr.ru/07.11/growth.rtf
  • https://hilr.ru/07.11/sent.rtf
  • https://t.me/s/vozmoz2

Emails

  • 08362793@mail.gov.ua

MD5

  • 0ede5c6f925b4ef08446c063c4805ff9
  • 146694cdc0e529bb175741c8331fcbda
  • 1af530c3daa10a6a9ad973bd7e1904ed
  • 3864263b8b3d86a1f6861b15c646aab0
  • 3adbc03f755a67fea42b6ca96b594237
  • 5f2d3f456eb549f31afa372d1a877152
  • 85dc81ba98e7ba81b00c3f4554e23f41
  • a19a7f22e599b4ff9a30d8917a801ffb
  • ab8600c3150ff6a5a803130438fdfae9
  • c1074dbc69079bc44f517c5a2092f05e
  • d67119d10668cd3f78ec2abefc6713d4

SHA256

  • 1281abff0809bbb1de56bed6f5ebfa111c3c42918732ededae63b76007364582
  • 424a9224b2f1a462a5de7222b98e1a95205e5bdad8beae892309be3ad4279363
  • 53f472e9a3d3471a76f13d12417229d23efd11b047353db8b71793feacafb029
  • 704a6ade1ad9ccb52ff52ae86ca0bce068f14134bd4f1ab6f7506b3f201ba55b
  • 8badadda788a53549ec889f648f3c85354c1765c7a2d8acfbcfc69aa3002e933
  • 94a2b39e00ff03061093cce7ead1aab677c939400428a37a00bf89333655ba82
  • 95b67d3bb530bf9ce98fa017ec2270176977a775e013df4db2038257ca6d17c3
  • aafde3c78194495c57066b8e6219da1caab9031da1b22f9dc6deef14ac3b5cfc
  • b27b901f363304a188348880df278af5954b288b5c614c3b85e7e1d8057cf3a1
  • c4d44834436baf347f01ac66f7e04e73bc1cb44cd938bd2992bcb11fef958801
  • fe37eae9986ad6d9a1709aa2993e13965d1bd9f0b7733c0a09c2b36531c31086
SEC-1275-1
Добавить комментарий