RomCom RAT IOCs - Part 3

security IOC

Агент угроз, известный как RomCom, проводит серию новых кампаний, которые используют возможности брендов SolarWinds, KeePass и PDF Technologies. Команда BlackBerry Threat Research and Intelligence Team обнаружила эти кампании при анализе сетевых артефактов, найденных в нашем недавнем отчете о RomComRAT, который был нацелен на украинские военные учреждения через поддельные версии программного обеспечения Advanced IP Scanner.

RomCom выдает себя за следующие продукты в своих кампаниях: SolarWinds Network Performance Monitor, KeePass Open-Source Password Manager и PDF Reader Pro.

Хотя Украина по-прежнему остается основной целью этой кампании, BlackBerry предпологаюь, что некоторые англоязычные страны, включая Великобританию, также являются объектом атаки. Это следует из условий обслуживания (TOS) двух вредоносных веб-сайтов и SSL-сертификатов недавно созданного командно-контрольного пункта (C2).

Учитывая географию целей и текущую геополитическую ситуацию, маловероятно, что агент угрозы RomCom RAT мотивирован киберпреступностью.

RomCom RAT IOCs

Indicators of Compromise

MD5

  • 1a21a1e626fd342e794bcc3b06981d2c
  • 4e4eca58b896bdb6db260f21edc7760a
  • 550f42c5b555893d171285dc8b15b4b5
  • 6310a2063687800559ae9d65cff21b0a
  • 7c003b4f8b3c0ab0c3f8cb933e93d301
  • 8284421bbb94f3c37f94899cdcd19afd
  • a7172aef66bb12e1bb40a557bb41e607
  • cb933f1c913144a8ca6cfcfd913d6d28
  • d1a84706767bfb802632a262912e95a8

SHA256

  • 246dfe16a9248d7fb90993f6f28b0ebe87964ffd2dcdb13105096cde025ca614
  • 3252965013ec861567510d54a97446610edba5da88648466de6b3145266386d9
  • 596eaef93bdcd00a3aedaf6ad6d46db4429eeba61219b7e01b1781ebbf6e321b
  • 5f187393acdeb67e76126353c74b6080d3e6ccf28ae580658c670d8b6e4aacc1
  • 8b8dff5d30802fd79b76ee1531e7d050184a07570201ef1cd83a7bb8fa627cb0
  • 9d3b268416d3fab4322cc916d32e0b2e8fa0de370acd686873d1522306124fd2
  • abe9635adbfee2d2fbaea140625c49abe3baa29c44fb53a65a9cda02121583ee
  • ac09cbfee4cf89d7b7a755c387e473249684f18aa699eb651d119d19e25bff34
  • f7013ce417fcba0f36c4b9bf5f8f6e0e2b14d6ed33ff4d384c892773508e932e
SEC-1275-1
Добавить комментарий