Lokibot Trojan IOCs

remote access Trojan IOC

Вредоносные документы MS Office Word уже давно используются для распространения дополнительных вредоносных программ RTF, эксплуатируя тот факт, что файлы Word допускают внешнее подключение. Однако компания AhnLab обнаружила, что в Корее распространяются файлы, которые, похоже, были сделаны для того, чтобы избежать обнаружения антивирусных программ.

Как и в прошлых случаях, используется электронное письмо, замаскированное под рабочую почту с вложением документа Word, но в файле webSettings.xml.rels присутствует уникальный фактор, который можно определить в формате OOXML (Office Open XML). При открытии документа пользователь автоматически перенаправляется на внешний URL.

Когда URL вводится в веб-браузер, часть URL перед знаком "@" удаляется, а числа в URL после @ автоматически преобразуются в формат IP.

Причина удаления части URL перед @ заключается в следующем: IE версий 3.0-6.0 позволял автоматически передавать учетные данные пользователя (имя пользователя:пароль) на сайты, использующие метод проверки по умолчанию при попытке ввода URL. После определенного обновления безопасности (MS 832894) часть URL перед @ игнорируется. Считается, что угрожающий агент воспользовался этим, чтобы вставить значимые данные (десятичную дробь, которая может быть преобразована в IP-адрес) после @.

Indicators of Compromise

URLs

  • http://104.168.32.131/
  • http://107.172.4.181/
  • http://161.129.44.62/
  • http://192.227.132.46/
  • http://192.3.101.120/
  • http://192.3.101.125/
  • http://192.3.136.167/322/vbc.exe
  • http://192.3.136.167/zxxsaassswq__zzzaxxsccvb__zxxxswqaaxxzzza_sdadzzqwqzzxs_dasdzsadasdas/zzxxxz_z_xcccc_zxxz.doc
  • http://198.23.187.168/
  • http://208.67.105.162/perez/five/fre.php
  • http://85.31.46.5/

MD5

  • 402d0dc1120c20d21a539bd8d564a6c0
  • 471130cf70d5bc013d818098fb55749a
  • 655dc599da82d7acfd5f35683c3fe128

 

SEC-1275-1
Добавить комментарий