Идентифицированный компанией Proofpoint как участник кампании Contact Forms, TA578, похоже, также распространяет ISO-файлы для вредоносного ПО Bumblebee через взломанные электронные письма. Эти взломанные письма либо содержат ссылки на URL-адреса storage.googleapis.com, аналогичные тем, что использовались в кампании Contact Forms, либо содержат защищенные паролем zip-вложения. Любой из этих способов доставляет ISO-файл, содержащий файлы для установки вредоносного ПО Bumblebee.
Содержание
Indicators of Compromise
Domains
- baronrtal.com
- bunadist.com
- curanao.com
- goranism.com
- olodaris.com
- omnimature.com
- vorkinal.com
URLs
- https://baronrtal.com/img/logo.jpg
- https://bunadist.com/images/logo.jpg
- https://bunadist.com/img/logo.jpg
- https://curanao.com/images/logo.jpg
- https://goranism.com/images/logo.jpg
- https://olodaris.com/images/logo.jpg
- https://omnimature.com/img/logo.jpg
- https://storage.googleapis.com/oieqeh1cxwnd81.appspot.com/bl/file/sh/0/fWpa4HT4ck6v6.html?l=827470894993112750
- https://storage.googleapis.com/pz3ksj5t45tg4t.appspot.com/q/pub/file/0/filejBWdkst6Ua3s.html
- https://vorkinal.com/img/logo.jpg
SHA256
- 22e033c76bb1070953325f58caeeb5c346eca830033ffa7238fb1e4196b8a1b9
- 330b01256efe185fc3846b6b1903f61e1582b5a5127b386d0542d7a49894d0c2
- e6357f7383b160810ad0abb5a73cfc13a17f4b8ea66d6d1c7117dbcbcf1e9e0f
- e9084037805a918e00ac406cf99d7224c6e63f72eca3babc014b34863fb81949
- f398740233f7821184618c6c1b41bc7f41da5f2dbde75bbd2f06fc1db70f9130
