CERT-UA сообщила о фишинговой кампании, которая ложно представлялась службой безопасности Украины и приводила к загрузке вредоносных MSI-файлов, содержащих вредоносное ПО ANONVNC (MeshAgent).
Эта вредоносная программа, созданная на основе общедоступного кода MESHAGENT, позволяет получить несанкционированный удаленный доступ к зараженным компьютерам. В результате этой атаки, продолжающейся с июля 2024 года под идентификатором UAC-0198, было скомпрометировано более 100 систем, в том числе в государственных органах Украины.
Indicators of Compromise
IPv4
- 186.2.171.76
- 66.94.104.42
- 66.94.109.162
Domains
- anonvnc.com
- filedn.eu
- gbshost.net
- gbshost.org
- hiddenvnc.com
- invoice-traffic.com
- smartcloudflare.com
- smart-vnc.com
- syn.hiddenvnc.com
- sync.anonvnc.com
- sync.hiddenvnc.com
- sync.invoice-traffic.com
- sync.smartcloudflare.com
- sync.smart-vnc.com
URLs
- https://filedn.eu/lodwtgn8sswha6pn8hxwe1j/.........../
- https://filedn.eu/lodwtgn8sswha6pn8hxwe1j/1.../
- https://filedn.eu/lodwtgn8sswha6pn8hxwe1j/tox/
- https://filedn.eu/lodwtgn8sswha6pn8hxwe1j/tox2/
- https://filedn.eu/lodwtgn8sswha6pn8hxwe1j/tox2/scan_docs#40562153.msi
- https://gbshost.net/
- wss://syn.hiddenvnc.com:443/agent.ashx
MD5
- 5b1323cfcddc4fd7de98c94ce9ce8b66
- 6ab9f278a420ac86fc7ec85647ce99f1
- ce65c8134821032063d54ca07e8a73ae
SHA256
- 02ec55a5a2ad775adccd333edd94ac0bd82129a233736f7240044e085b73b0b3
- 4c4872202abb5a60a8764bf44b370578a2b3d6f449b3881e96cc38f1b55f9cda
- a7297883de84d73fb4965c00228144a0e53c573ad3b7291be39bc6d9c284454c
