Главная страница » IOC
0
2 года
IOC

GhostWriter APT IOCs - Part 3

security

CERT-UA обнаружены XLS-документы "PerekazF173_04072023.xls" и "Rahunok_05072023.xls", содержащие как легитимный макрос, так и макрос, который осуществит декодирование, обеспечение персистентности и запуск вредоносной программы PicassoLoader.

При этом, отдельно реализована проверка установленного средства защиты: в случае, если на ЭВМ обнаружены продукты Avast, FireEye, Fortinet (названия процессов: "AvastUI.exe", "AvastSvc.exe", "xagt.exe", "fcappdb.exe", "FortiWF.exe") вредоносная программа создана не будет.

На момент исследования PicassoLoader обеспечивал загрузку, дешифровку (AES) и запуск вредоносной программы njRAT.

Indicators of Compromise

Domains

  • carpetmarker.pw
  • everything-everywhere.at.ply.gg

Domain Port Combinations

  • everything-everywhere.at.ply.gg:50709

URLs

  • https://carpetmarker.pw/images/carpet_shop_3b09adf.jpg

MD5

  • 192e12e92dd0fe7a838e104eb65665ef
  • 1d3f26e8b8f0a145d752bc089e5904e5
  • 4d8bc51e52067f4b983e4f60d5618a15
  • 4e23e56fb247e92980331ca23a1b7300
  • 4f173e82336aec538124bc1f6a8435b2
  • 552d020c3c090c7b297a8f23f7c48648
  • 5bf951438305f16e42f6a85b81d6c5d7
  • 6857da89a25728b066dcf7f47d25455b
  • 6e6c39f498d0231417f6fa75e27b3008
  • a85c94825f1420dd15cd80851e89efb1
  • c0dc96834b07ec32bc67d3bce7b60a28
  • d43e0c177c7de3d311706609fecdabb8
  • f09420169a24a54eff0fc35cd15d68bc

MD5

  • 0f3bdbc64446555c6ff611b02f2e64250fcaf39b78237ae4cca7c74d94731b32
  • 1de7d03db87618e20b85c4e30e040168f26e4a0bdc98943736ef9a2c5f648e23
  • 32cf2acd3300d5c0cf7aadc70f07d137d705f379e35510e25018578e3ee40f42
  • 3b7702a3c2434f8677dddcd44b8ab09bd23129df98ce76929d5731d156398c32
  • 4d9cca1d75d4691e794dfe9efb9eef6e9e64b4e978ad17831b459d4bb6722829
  • 4da99f963c26bcc4537ba0437c9cc1445be8bea64067d34308dda6c2e49c8c65
  • 5061bf0d671aacb5fc8e89918c6e5dc5e0b8cb14020422ca73ca5941a7f34b98
  • 52fe07167694935a5a6441c1e6de73b08f786f736057034de766a7fa3866e576
  • 6dd40ea5e53754a7160801aa5e378089c7dcd9b76429c2536d115c022e3484e8
  • 7893965d1861c712b751bc2d5fb53a34ec0d276bcf389b7fc574728940575152
  • 7f89ec40687564ad7bae34c3f9cddcea28624b3ecf4807e3cef9911d850aecf8
  • 97894351c3c0728f3c2c740b0ea60af7bd9db955f2d3dc1a97668227956c89f3
  • b27ec1a0d4e122765abbecc5e66742f4ed546adfda208b4320fbf277d37a38f5
Комментарии: 0
Похожие записи
0
3 дня
IOC

Целевая шпионская активность UAC-0226 в отношении центров инноваций, государственных и правоохранительных органов с использованием стилера GIFTEDCROOK

Spyware
CERT-UA, начиная с февраля 2025 года, отслеживается целевая активность, которая осуществляется с целью шпионажа в отношении центров развития инноваций в военной сфере, военных формирований, правоохранительных
0
3 дня
IOC

APT-группа ToddyCat использует уязвимость в ESET для проксирования DLL-файлов

security
Группы APT используют различные методы обхода защитных систем, чтобы скрыть свою деятельность в зараженных системах. Одним из таких методов является использование руткитов на уровне ядра в системах Windows.
0
3 дня
IOC

Lazarus расширяет вредоносную кампанию npm: 11 новых пакетов добавляют загрузчики вредоносного ПО и полезную нагрузку Bitbucket

security
Группа злоумышленников Contagious Interview, предположительно связанная с Северной Кореей и известная как Lazarus Group, продолжает свою вредоносную кампанию, расширяя свое присутствие в экосистеме npm.
0
4 дня
IOC

Кибершпионаж с использованием PowerShell-стилера WRECKSTEEL

Spyware
Национальный агентство по реагированию на компьютерные чрезвычайные события в Украине (CERT-UA) принимает меры по сбору и анализу данных о кибератаках с целью предоставления информации о киберугрозах.