Cobalt Strike Beacon IOCs - Part 3

Документ содержит макрос, активация которого приведет к созданию на компьютере и запуску файла "write.exe". Указанный файл выполняет роль дропера, обеспечивая создание на диске файла "%PROGRAMDATA%\TRYxaEbX", его дешифрование (RC4) и последующий запуск PowerShell-скрипта. Кроме того, EXE-файл также обеспечивает собственную персистентность, создавая ключ "Check License" в ветке "Run" реестра Windows. Полученный PowerShell-скрипт кроме обхода AMSI и отключение логирования событий для PowerShell обеспечит декодирование и декомпрессию данных в следующий PowerShell-скрипт, который, в свою очередь, обеспечит выполнение вредоносной программы Cobalt Strike Beacon.

• Cobalt-Strike Beacon IOCs
• Cobalt Strike Beacon IOCs

Domains

• skreatortemp.site

URLs

• https://skreatortemp.site/s/08u1XdxChhMrLYdTasfnOMQpbsLkpq3o/field-keywords/
• https://skreatortemp.site/nBz07hg5l3C9wuWVCGV-5xHHu1amjf76F2A8i/avp/amznussraps/

MD5

• c6e7af8d31a951b8c05565ab18c4f258
• 28f18fc7d9a0ab530742c2314cbd5c32
• 8409920ef2d78549fc214718c4719d3a
• 1dc98fb372925fcba321b0bc8347fdcc
• f4217387333f65faeb7b13637c1e7c72
• 26e326ba69f5258c4979902b5bd4f24e
• a4b4047022bce6f65faffc4c6033c5d2

SHA256

• 024054ff04e0fd75a4765dd705067a6b336caa751f0a804fefce787382ac45c1
• 14736be09a7652d206cd6ab35375116ec4fad499bb1b47567e4fd56dcfcd22ea
• e68c83ce6359691ce63c957ebfdbf959c5b199c83fd2480aebe4220fec9f3304
• d1e6d365a3ede77bd7f6c77523b114dd9628f7b9bafb2e458f9b19bd6ce24c71
• e1cbfef74b4084023a1f02ab68b3ad3bc60561f7e988860b80ac94a91922fa86
• 9dec13e1b0ed9337fcbe233d5f83eff09c64a14c7f2400b9b915a685b29612ea
• c1e14c4d8d83281de413ccaa577621a057195df3773960274aabf855e2c7bea2

File Path

• %PROGRAMDATA%\TRYxaEbX
• %TMP%\write.exe
• %PROGRAMFILES(x86)%\Microsoft Office\Office14\EXCEL.EXE
• %TMP%\write.exe

Reg

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Check License