Главная страница » IOC
0
26 дней
IOC

Mythic Likho APT IOCs

security

В январе 2025 года компания «Лаборатория Касперского» получила запрос на оценку угрозы, исходящей от подозрительного письма, полученного отделом кадров одного из машиностроительных заводов.

Mythic Likho APT

Письмо было якобы от отдела кадров другой компании с просьбой предоставить характеристику на бывшего сотрудника. Письмо содержало недействительную ссылку, но при дальнейшем исследовании была обнаружена вредоносная активность на связанном поддомене files.gkrzn[.]ru. По ссылке hxxps://files.gkrzn[.]ru/direct/1baf2d23-5f3a-4f79-8575-22e1072657070f/e226ebbd/Resume_ZelibRV.rar исследователи обнаружили вредоносный архив, на который, по их мнению, могла вести ссылка из письма.

Внутри вредоносного архива находился еще один архив под названием Resume.rar, который содержал файл под названием Rez_ZelibRV.lnk. При открытии этого файла выполнялась команда, запускавшая скрипт с рабочим каталогом C:\Users\Public\Libraries. Этот скрипт, названный 20.ps1, выполнял два основных действия: переименовывал файл 3(1).jpg в Rez_ZelibRV.pdf и открывал его, а также запускал бэкдор Merlin из файла 19.jpg, используя технику непрямого запуска с помощью утилиты conhost.

Файл Rez_ZelibRV.pdf, который открывался во время выполнения скрипта, представлял собой документ-обманку, содержащий поддельное резюме претендента на руководящую должность. Бэкдор, известный как Merlin, представлял собой инструмент постэксплойта с открытым исходным кодом, который мог быть скомпилирован для различных операционных систем и взаимодействовать с сервером по различным протоколам.

Merlin использовал шифрование AES для связи с командным центром, расположенным на домене yuristconsultant[.]ru, и отправлял различные системные данные, такие как IP-адрес, версия ОС, имя хоста, имя пользователя и архитектура процессора. Интересно, что «Лаборатория Касперского» заметила связь между бэкдорами Merlin и Loki: экземпляр Merlin загружал в систему жертвы образец Loki версии 2.0.

Indicators of Compromise

URLs

  • https://mail.gkrzn.ru:443/data
  • https://pop3.gkrzn.ru/data
  • https://yuristconsultant.ru:443/data_query

MD5

  • 124d2cb81a7e53e35cc8f66f0286ada8
  • 6b16d1c2d6d749c8b0e7671e9b347791
  • ded148a5a34e1d50f2cd6c9685bf28e8
Комментарии: 0
Похожие записи
0
20 часов
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.
0
20 часов
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает
0
2 дня
IOC

Тенденции в области фишинговых писем в феврале 2025 года

phishing
Наиболее распространенной угрозой среди вложений фишинговых писем был фишинг, при котором использовались скрипты, чтобы подделать страницы входа в систему и привлечь пользователей к вводу своих учетных данных.