Главная страница » Индикаторы компрометации
0
10 месяцев
Индикаторы компрометации

GLUEEGG / DROPCLUE / ATERA Malware IOCs

security

CERT-UA получена информация о распространении среди украинских оборонных предприятий электронных писем с тематикой закупки БпЛА и вложением в виде ZIP-файла, содержащего PDF-документ со ссылкой.

В случае перехода по ссылке на ЭВМ жертвы будет загружен файл «adobe_acrobat_fonts_pack.exe», который классифицирован как вредоносная программа GLUEEGG, разработанная с использованием языка программирования Go. Основным назначением GLUEEGG является дешифровка (XOR со 128-байтным ключом) и запуск загрузчика DROPCLUE, разработанного с использованием языка программирования Lua.

Последний обеспечит загрузку и открытие на ЭВМ документа-приманки «UA-2024-07-04-010019-a-open.pdf», а также EXE-файла «font-pack-pdf-windows-64-bit», что обеспечит запуск BAT-файла, который, в свою очередь, с помощью штатной утилиты «curl.exe» осуществит загрузку и установку MSI-файла легитимной программы для удаленного управления ЭВМ ATERA.

Содержание
  1. Indicators of Compromise
  2. Domains
  3. URLs
  4. Emails
  5. MD5
  6. SHA256

Indicators of Compromise

Domains

  • prozorro-ua.net

URLs

  • https://prozorro-ua.net/tender/ua-2024-06-25-006884-a/print/limited-reporting/adobe_acrobat_fonts_pack.exe
  • https://prozorro-ua.net/tender/ua-2024-06-25-006884-a/print/limited-reporting/ua-2024-07-04-010017/font-pack-pdf-windows-64-bit
  • https://prozorro-ua.net/tender/ua-2024-06-25-006894-a/print/limited-reporting/ua-2024-07-04-010019-a-open.pdf

Emails

MD5

  • 1191f83c3ffadac0142814ec9691829e
  • 37e2751b26feffa619a7ff123842867b
  • 57a9efe39f30a4284c0d5bfc3c80cc69
  • 778c85b7ed5046afa17c20d4c4a604cb
  • 8a1bd632a9b8df88aae5e1d3439411ce
  • a41cd0977b7f57f35b958428433cebbd
  • b73333ea586696a0ca41c8a7b2046e8c
  • bdd1b02c7588feb06e70874f3aa90d03
  • c670c06ad6b01053ad5ec3f8f4d2ec12
  • cbfac396e89776dd009f6c191be690c9
  • d7dbfe6b80590c5038dd8ef430c5277e
  • df678ec9c97db5bcfe8e8f5acc7e1cae
  • fb3cd8734a70842406dbe8ea8bee0fd2

SHA256

  • 01ebc558aa7028723bebd8301fd110d01cbd66d9a8b04685afd4f04f76e7b80c
  • 0a2d4764b70dfb0992608658cbafb641e3c38430364233f74b666a55b92817a5
  • 1937f46f81ee04c797987ca84bd9b338dc6e157b6928b957c0e685312e67ffc3
  • 40ee385eb112c8631f2566a2187cee844bf87984c88698106d92d469f580b134
  • 4d502ff5892c3b60c32e89cf841c5d81c70786a9089c4ccc211029741b1bf387
  • 5f8ac3b5f4a33cafaf101f2ac63bad21bae88c6df7369fa58f0709ef35266a9e
  • 82ba5c5af08a9b1b88faa0a87033af3af49e6d699dbf0df09fb4805283ff33d9
  • 846a7255eff6535d0e85c67a60712250df239a91c8b63df2073548d40434058c
  • a8c246d659cfcbc8ba40840634b9b0d46b81b00579a74f8f157f0dc71c5f8ed8
  • c296a6f55e06729bbf4ec270f12ddc24678a1e622dfeb16bce64d9d20f44e03f
  • ceedf36401ccea32d5465d955cc0a8a72c297182219338cf5521e557ce9ea963
  • dc7b8a3b3d03ad01e05b807618d3a5556cf3f699b5cffc3133ef7e1bc9efdd17
  • fb5bfd1c555b2d508f0e56bf44367203e05355440614c351bd685a9c3c84d3ed
Комментарии: 0
Похожие записи
0
1 месяц
Индикаторы компрометации

Целевая шпионская активность UAC-0226 в отношении центров инноваций, государственных и правоохранительных органов с использованием стилера GIFTEDCROOK

Stealer
CERT-UA, начиная с февраля 2025 года, отслеживается целевая активность, которая осуществляется с целью шпионажа в отношении центров развития инноваций в военной сфере, военных формирований, правоохранительных
0
1 месяц
Индикаторы компрометации

Кибершпионаж с использованием PowerShell-стилера WRECKSTEEL

Stealer
Национальный агентство по реагированию на компьютерные чрезвычайные события в Украине (CERT-UA) принимает меры по сбору и анализу данных о кибератаках с целью предоставления информации о киберугрозах.
0
2 месяца
Индикаторы компрометации

UAC-0173 APT IOCs

security
CERT-UA обнаружил возобновление деятельности организованной преступной группировки UAC-0173. Эта группировка, действуя по заказу и получая денежное вознаграждение, проводит кибератаки на компьютеры нотариусов