Главная страница » IOC
0
6 месяцев
IOC

Core Werewolf APT IOCs - III

security

По данным специалистов BI.ZONE Threat Intelligence, кластер Core Werewolf атакует российскую оборонную промышленность и критическую информационную инфраструктуру с 2021 года. В своих последних кампаниях злоумышленники добавили новый загрузчик, написанный на AutoIt, и теперь распространяют вредоносные файлы через Telegram в дополнение к электронной почте. Это говорит о том, что злоумышленники экспериментируют с различными способами доставки, чтобы проводить более целенаправленные атаки.

Core Werewolf APT

Злоумышленники постоянно обновляют свои инструменты и вносят изменения в свой арсенал в связи с повышением обнаруживаемости. Популярный язык программирования AutoIt используется злоумышленниками для разработки собственных вредоносных программ. В кампании Core Werewolf злоумышленники распространяли самораспаковывающиеся архивы (SFX), созданные с помощью 7-Zip, через архивы RAR. Некоторые из этих RAR-архивов были защищены паролем.

Когда пользователь запускает SFX-файл, его содержимое извлекается во временную директорию и запускается вредоносный скрипт, использующий интерпретатор AutoIt. Этот скрипт выступает в роли загрузчика для следующего этапа. В его функционал входит сбор информации о взломанной системе, создание файла с системной информацией, переименование и перемещение отвлекающих документов, а также отправка данных на сервер злоумышленника.

Загрузчик также генерирует заголовки HTTP POST-запросов для передачи информации о взломанной системе. Он отправляет POST-запрос на сервер злоумышленника и загружает с него текстовый файл. Если содержимое загруженного файла равно определенному символу, загрузчик AutoIt устанавливает флаг для загрузки скрипта следующей стадии. В противном случае он продолжает цикл и пытается загрузить текстовый файл с нужным содержимым.

При проверке флага загрузки, если он установлен в 1, загрузчик загружает с сервера злоумышленника скрипт AutoIt следующей стадии и выполняет его с помощью интерпретатора AutoIt. Затем загрузчик удаляет загруженный скрипт и текстовый файл, содержащий список файлов и каталогов в папке Desktop.

Отвлекающие документы, использованные в этой кампании, имели одинаковые имена, например «Plan_work_on_effectiveness_of_the_application_of_flame_defense_RV&A__.pdf». Эти результаты подчеркивают изощренность и адаптируемость кластера Core Werewolf при атаке на российскую оборонную промышленность и критическую инфраструктуру.

Indicators of Compromise

IPv4

  • 178.20.46.163
  • 188.127.240.131
  • 31.192.107.165
  • 80.85.155.134

Domains

  • 1tutor.ru
  • cntula.ru
  • conversesuisse.net
  • dsksb.ru

MD5

  • 0adb9b817f1df7807576c2d7068dd931
  • 13dbc816bca4f7668452fd8d28bb95e1
  • 20e4539a0c14c63afa24744b3767f103
  • 22a0ffa0c20131cd10fe074dbbcdd262
  • 2c77773840821a49d71ac7c9e31258f9
  • 36f96f199cf97ee8cbdd0271bd6598ca
  • 6834ec008b5dc8980a1c7a3e13a1a8ea
  • 6a495d68c106da8e9e4ec4bab72969c7
  • 770c3ea782ea6d4430b64e24ebce8ca8
  • 88849c55911c4b1866fb7099f9c54407
  • 9a454c6e336ac65df9a0330db086565f
  • 9c0933a8a4fcb108dae9ee4cf9f7645b
  • a3bd5a90c900bd78b015804c2e2159c6
  • e058d942a6dadfb09bd652ce1e1b2518
  • f3b95a48f3415e8909b979f9219a68b4

SHA1

  • 01bea2e4ff7bba835d88714ec4fde8d97a250639
  • 21b551deb21e6218741e424086b1eaad0064fe65
  • 2ba32d676b04da49276527d4b428c36b2cb61b81
  • 2c2660577d4f853935a64c47cf8967a74e32d0f8
  • 2f835234ff7b497944220a72315c1b80d2474fa5
  • 2fcc26ba22a592f7cd1dc81c212e79795fc05f76
  • 35da880d75ab18f132dfed65adf545e079a99f55
  • 4a1b94a9a5113106f40cd8ea724703734d15f118
  • 4f47703cdc419e2942ff2697b7ee40a4d703956f
  • 5eba332d8372d94d17e87b6c8234b2cad052bb17
  • 7d53b53514fd54af5e547c02eb8163dbd25f79ca
  • 80ef6745cd0412ab587def958f6425de2b144935
  • 871a675d43758907d02d5b7e57d8a96f70dd3b27
  • a2146ccfffbabed1501e8ad00fada778e3817f94
  • bcef3e23516e7df558b07da2edee8c47398a2472

SHA256

  • 00ec82306c9df4aee9dda42933ed55afa9e53ed74c2018bc0ce43d87edad2f98
  • 114de7d5e7dd6088f68705d519fc35530433506965ec5288e9dfb005bfec73c8
  • 19ff0ce570aabefcab0eed08afdaffd16c5516d91962e099498ecaf97f394766
  • 2b62b9481c0bcdf46a24a792f44e152ea5b7c5143cb06af9d82ff8c2c8433551
  • 3cfc1ecd00d52349c0b1ac0692774b31a97342330ef664b546fa3b8aa1d3a6c2
  • 6a3584f8e6b5f8e2fb5826aa0f042bf30b06e7467f022499a71273e15daaa216
  • 703835c57b8985141ef3ef652e2593935a47bd9779d08963c5eb973b8b82d08a
  • 731b4673f28da5d8b48f016a478be4e1ffea247d5b44a6612c506110b8fdd97c
  • 75cd7ef3e87d59f32939832e3b5eeb586d0fc1467721a30b64132bc5f833697f
  • a049cc364151ddfb3b87c11050a9b027ec4a1687ae4415b8d07afa4bc7aeaced
  • a8ea0f64e7e08d59b45068c1ff4eda4d7fd9d92148cd3d4c664da9c18aaf1f32
  • b09807247282baaddb32ffe114b046325dd648a4c298f3b5c9addaa635b0520c
  • d42942acee6154609c1c5f61bb0fb863c4598dd82e6d28af58c9dfbee71c4521
  • eecfa15d69a6322fac39e945d68664a037e48a60644a76acd8b49490e6c93c06
Комментарии: 0
Похожие записи
0
15 часов
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.
0
3 дня
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
0
3 дня
Articles

Практические проблемы атрибуции APT в случае с подгруппой Lazarus

security
Lazarus- это название, относящееся не к одной атакующей группе, а к совокупности многих подгрупп. Это название первоначально относилось к деятельности одной группы или группы очень ограниченного размера