DarkCrystal RAT IOCs - Part 5

remote access Trojan

CERT-UA получена информация о распространении электронных писем с темой "Безоплатна первинна правова допомога" и вложением "Алгоритм дій членів сім’ї безвісти відсутнього військовослужбовця LegalAid.rar", которое защищено паролем. адреса в домене gov.ua (вероятно, скомпрометированного).

Указанный RAR-архив содержит документ "Алгоритм_LegalAid.xlsm", посвященный вопросам получения правовой помощи. При открытии документа и активации макроса будет выполнена PowerShell-команда, которая обеспечит загрузку и запуск .NET-загрузчика "MSCommondll.exe". Упомянутый исполняемый файл, в свою очередь, произведет загрузку и запуск вредоносной программы DarkCrystal RAT. Исходя из email-адресов получателей электронных писем, а также домена управления DarkCrystal RAT предполагаем, что атака направлена ​​в отношении операторов и провайдеров телекоммуникаций Украины. В ходе предварительной атаки, 10.06.2022, объектами заинтересованности злоумышленников были медийные организации Украины.

Indicators of Compromise

IPv4

  • 103.27.202.127
  • 203.96.191.70
  • 31.7.58.82

Domains

  • plexbd.net
  • datagroup.ddns.net

URLs

  • http://plexbd.net/MSCommonDriver.exe
  • http://plexbd.net/MSCommondll.exe
  • https://datagroup.ddns.net/PythonHttpGeolongpolldefault.php

MD5

  • 2fe9e49143b5a5d7a2ac38c1c56cbf21
  • b726312450e28faa38396736be1b00fb
  • fd2e0ec9021783dba1c9744fa730e5b9
  • 19bbb1b94f66609cbd80945c14486e93
  • 8fc587099c54491749b2b65176f4a145

SHA256

  • 183a05f7a69bba3f9ec7df8abd50f5fd89246da7e732c19842a1a1eecc78f96f
  • 2b2438aa8da7c23e714f2d7a196d82ed52914c9353ef9fded01448216bd858ff
  • 471af7ed687ef875c6118ec2f440f0dea9a434b54d81b7946f58505676f7c589
  • 7cffb54cb07db2f4104b8764ff15799111d06ea81d9c74c09134c61341d74202
  • 96444376dfd650f8c994116f90be1cacbd337ebdcbafe922910645cb7549ace2

Mutex

  • DCR_MUTEX-PNY1ZVhO2iPJoDxTnEBp
Комментарии: 0