Главная страница » IOC
0
2 года
IOC

AsyncRAT Malware IOCs - Part 11

remote access Trojan

CERT-UA с первого квартала 2023 года отслеживается целевая злонамеренная активность, заключающаяся в распространении средствами электронной почты сообщений с вложениями в виде BZIP, GZIP, RAR архивов, содержащих BAT-файлы, созданные с помощью криптора ScrubCrypt (стоимость - от 249 долл.США), запуск которых обеспечит поражение ЭВМ вредоносной программой AsyncRAT (исходный код опубликован на GitHub).

При этом применяются специфические темы писем и названия файлов, например: "Письмо отдела по вопросам нотариата в Днепропетровской области.rar", "Письмо к сведению и исполнению.cmd", "Письмо МЮУ для доведения до сведения и учета в работе.exe.bzip", что, в свою очередь, позволяет сделать предположение о направленности кибератак на органы юстиции и нотариата Украины.

С технической точки зрения цепь поражения заключается в запуске BAT/CMD-файла, содержащего PowerShell-код, предназначенный для декодирования (BASE64), дешифровки (AES-CBC), декомпрессии (GZIP) и запуска .NET-файла (внутреннее название "ScrubCrypt"), который обеспечит запуск вредоносной программы AsyncRAT.

В связи с этим, с целью минимизации вероятности реализации угрозы, среди прочего целесообразно ограничить возможность запуска PowerShell для непривилегированных учетных записей операционной системы.

Упомянутая активность с низким уровнем уверенности, может быть связана с деятельностью BlackNotary - так называемые "черные" нотариусы.

Indicators of Compromise

IPv4

  • 179.43.154.184
  • 195.123.225.51
  • 195.123.226.166
  • 195.123.226.180

IPv4 Port Combinations

  • 179.43.154.184:591
  • 179.43.154.184:8008
  • 179.43.154.184:8888

Domains

  • barnsertr.com
  • filetransrediremin.com
  • minijusfil.com

URLs

  • https://filetransrediremin.com/calc.exe
  • https://filetransrediremin.com/cry/11rota
  • https://minijusfil.com/c.cmd

MD5

  • 013c7fb70150bdd99ae28484c0f55dbf
  • 016edf9a55c2b9955e3d654ff6d3ba5d
  • 0b54dbba545b8787f7b434862151146d
  • 0ecbbcf0b3f7f847d31862de9d62a580
  • 2bbc55c1729fab05055610412441cd62
  • 3a009c0102cf9fe7423efb9f6131f85e
  • 4184c3fbbb8904237a2bb48cfa2bfff3
  • 516495bc2118b6efc8566ef2d2d0233b
  • 665827a302f1d1ece571e7fc131f9a2d
  • 729e3126477714e1d10bbca7864453b1
  • 7cddb4889976b45d900aad3d1268fda1
  • 8e24eea62fe636524ad992c1195ed4aa
  • 93a039e82f9ef7dea401236f526fd7c9
  • 941a6d01d91d0c71189d260bd8f7608a
  • a1b7c6f9f78102d6331a1aadca52ad39
  • ba2b4c7c3057b85b94b8f5482edcfd87
  • baf942765abdb44e6c6e8606f1ee0efa
  • bd669b081d1e5d24a1c690fa642599da
  • c05a9be258b54214368da1f64754149f
  • c31552e901a45bbf31a7eb3bf4022140
  • d838bdf36763ee43e663447e4e50213c
  • e17787fe978d4d56dafe70afe9eab4cf
  • f4bce0bc007a274e8ad705f69883ce8b

SHA256

  • 04ebad4f559b534ca27fd29b45ecc96b2e8e5a04205f05ef186f1d0e08ad0b07
  • 0571c7fd18f633e731f93e93f82260c89157e2e014152b1d909cfbc1c7d68570
  • 0a800c35a29e5105898ca274b12dda114e08f23da75dcec3b16a809f1d0109ad
  • 0f6d4a24d13a7964c9621c3a6f91490cb21b5578a6a61228731df4554a777802
  • 1915e9acec5f15f0afa975bf2eec577acd9a0ae48ce96c4161decdaa88f0547a
  • 1d3b6c39b58974e27f6dabd4fd4827c67ebb323acf72f9eec268d0e7c37a68f1
  • 1fb20325d80455731a0849675b0a863d550014b3162d28148c702a52348ae3a4
  • 23cddec3d5bb48de4d49e9cf772512733e8d860a886817b54d0f5576ec150f43
  • 2ec7922b3addd2060cc8d6346194cef5f7d4255243293ad9d20488234ae5a31c
  • 4001b2999d1af9c462e792996e45ee8e515d075fe19deb758348dd65af37e40a
  • 40fdc9bfcb6627044d6643ad42c6523e399de2941c982943162f8f561893265e
  • 4adbfd8646ed3ba7f6ef8dc615377e4abe320f5ebe670e3894b439152df68422
  • 5fff89e3d5ca8f71518e29491341b09ea37516a91daab793030ae093358bb82a
  • 682d0ba18f9eb32993222bb686b53d6ec0d3255ca11b3c2dac929098651c7164
  • 78c423f4cfeae5e143cd2756b663bdee3ef455cb2d7ba4e89d604200d5c638f8
  • 930b8236c1a242935201df7a6a133c5fa0274966e9fc82ff507871e147ea8499
  • 9a654842eec405058483efdd893171161e437fb1086772b3eaacd91059b23cfe
  • 9c652e288c35a216c0e5a5a4e952e4cd276522b4be4a8e5fdf8eb908c208896d
  • 9cd3eec4dbb2ccfd5179b14c10f3dd2e92c6e9d2804aadab31eaeaf428b970c3
  • 9d6b963858612506946b88d8597d67c5092588058986f98b09e84e4133555bc1
  • dbbd6373962783007842b7d3a39b9ae9b93a1f709692018f0a3b2d58896f161b
  • e106bb50fb66d5e07d17c2e99d2c009f4573444b51bf2023341bca31f0abeedd
  • ee2bd27a47271fc62b0da3d8b4139746eae3deada5acecda7c4f502a162b9d11
Комментарии: 0
Похожие записи
0
3 дня
IOC

NEPTUNE RAT: продвинутая Windows RAT с возможностью разрушения системы и извлечения паролей из 270+ приложений

remote access Trojan
Neptune RAT использует передовые методы антианализа и персистентные методы для сохранения своего присутствия в системе жертвы в течение длительного времени и оснащен такими опасными функциями, как криптокопилка
0
4 дня
IOC

Целевая шпионская активность UAC-0226 в отношении центров инноваций, государственных и правоохранительных органов с использованием стилера GIFTEDCROOK

Spyware
CERT-UA, начиная с февраля 2025 года, отслеживается целевая активность, которая осуществляется с целью шпионажа в отношении центров развития инноваций в военной сфере, военных формирований, правоохранительных
0
5 дней
IOC

Кибершпионаж с использованием PowerShell-стилера WRECKSTEEL

Spyware
Национальный агентство по реагированию на компьютерные чрезвычайные события в Украине (CERT-UA) принимает меры по сбору и анализу данных о кибератаках с целью предоставления информации о киберугрозах.