Главная страница » Индикаторы компрометации
0
сейчас
Индикаторы компрометации

Киберпреступники из группы Kimsuky распространяют вредоносное ПО под видом научных статей

APT

Эксперты из AhnLab Security Intelligence Center (ASEC) обнаружили новую фишинговую кампанию, организованную хакерской группировкой Kimsuky. Злоумышленники рассылают письма, маскируя их под запросы на рецензирование научных работ от имени профессоров. В письмах содержится вложение в формате HWP (Hancom Word Processor) с вредоносным OLE-объектом.

Описание

Документ защищен паролем, который указан в теле письма. После открытия файла в папке %TEMP% автоматически создаются шесть скрытых файлов. Для дополнительного вовлечения жертвы в документе размещена гиперссылка «More…», которая запускает исполняемый файл peice.bat.

Среди созданных файлов - исполняемый модуль app.db с валидной цифровой подписью, PowerShell-скрипт get.db для сбора данных о системе, легитимный документ hwp_doc.db в качестве приманки, конфигурационный файл mnfst.db, XML-планировщик sch_0514.db и скрипт peice.bat, координирующий работу остальных компонентов.

После запуска peice.bat вредоносное ПО выполняет ряд действий: удаляет исходный HWP-файл, переименовывает документ-приманку, регистрирует задание в планировщике Windows и копирует файлы в системные директории. Основная цель - скрытая установка бекдора на основе AnyDesk, который позволяет злоумышленникам получать удаленный доступ к системе.

Скрипт template.ps1 собирает информацию о процессах и антивирусном ПО, после чего отправляет данные на Dropbox-аккаунт злоумышленников. Дополнительно загружается файл 1.bat, который скачивает и распространяет компоненты для скрытого управления системой через AnyDesk.

Эксперты отмечают, что Kimsuky активно использует легитимное ПО и облачные сервисы для маскировки атак. Фишинговые письма часто затрагивают темы, связанные с профессиональной деятельностью жертв, что повышает риск заражения. Пользователям рекомендуется избегать открытия вложений из непроверенных источников и всегда проверять расширения файлов перед запуском.

Индикаторы компрометации

IPv4

  • 103.130.212.116
  • 103.149.98.230

Domains

  • niva.serverpit.com

URLs

  • http://103.149.98.230/pprb/0220_pprb_man_1/an/d.php?newpa=myapp
  • http://103.149.98.230/pprb/0220_pprb_man_1/an/d.php?newpa=myappfest
  • https://niva.serverpit.com/anlab/d.php?newpa=attach
  • https://niva.serverpit.com/anlab/d.php?newpa=bimage
  • https://niva.serverpit.com/anlab/d.php?newpa=mnfst

MD5

  • 50d4e3470232d90718d61e760a7a62fb
  • 6a84a14dd79396f85abd0e7a536d97fc
  • 7183295e6311ebaaea7794d8123a715e
  • 79573759208d78816316546a9c1f0aec
  • 873579b92d618bf2ed3f67b7a01d7f7a
Комментарии: 0
Похожие записи
0
2 дня
Индикаторы компрометации

GrayAlpha атакует через фейковые обновления и загрузочные страницы: PowerNet и NetSupport RAT в действии

APT
Эксперты Insikt Group обнаружили новую инфраструктуру, связанную с угрозой GrayAlpha - группой, пересекающейся с финансово мотивированным коллективом FIN7. В ходе расследования выявлены домены, используемые
0
3 дня
Индикаторы компрометации

Киберпартизаны атакуют: новый бэкдор Vasilek использует Telegram для управления зараженными системами

APT
Эксперты Kaspersky ICS CERT раскрыли детали атак хактивистской группы Киберпартизаны, которая с 2020 года активно атакует промышленные предприятия и государственные учреждения России и Беларуси.
0
3 дня
Индикаторы компрометации

Киберпреступники из Silver Fox используют фишинговые атаки для распространения бэкдора Holding Hands 4.0

APT
Злоумышленники, связанные с китайской группировкой Silver Fox, активизировали кампанию Winos 4.0, распространяя вредоносное ПО через фишинговые письма с поддельным уведомлением о пересмотре зарплат.
0
3 дня
Индикаторы компрометации

Зловредный пакет для кражи криптовалюты атакует разработчиков Web3 в рамках северокорейской операции

APT
В прошлую неделю автоматизированная система анализа вредоносного ПО обнаружила подозрительный пакет web3-wrapper-ethers, который имитирует популярную библиотеку ethers.