Главная страница » IOC
0
6 дней
IOC

Кибершпионаж с использованием PowerShell-стилера WRECKSTEEL

Spyware

Национальный агентство по реагированию на компьютерные чрезвычайные события в Украине (CERT-UA) принимает меры по сбору и анализу данных о кибератаках с целью предоставления информации о киберугрозах.

Описание

В марте 2025 года были зафиксированы не менее трех кибератак на правительственные органы и объекты критической инфраструктуры Украины, которые имели целью сбор и похищение информации при помощи злонамеренных программ. Злоумышленники использовали скомпрометированные учетные записи для распространения электронных писем со ссылками на файловые сервисы, которые при посещении загружали и запускали вредоносные скрипты. Исследование показало, что такая активность происходит по меньшей мере с осени 2024 года. Основное вредоносное программное средство, известное как WRECKSTEEL, используется для похищения файлов.

Indicators of Compromise

IPv4

  • 143.244.46.116
  • 144.172.98.178
  • 167.88.167.254
  • 172.86.104.17
  • 172.86.114.149
  • 172.86.116.135
  • 172.86.65.194
  • 172.86.72.194
  • 172.86.84.84
  • 172.86.88.15
  • 172.86.88.186
  • 185.212.44.87
  • 45.61.141.215
  • 45.61.157.179
  • 45.61.159.252
  • 91.203.63.10
  • 91.203.63.75

Domains

  • drobbox.cloud
  • eschool-ua.online
  • iocreestr.tech
  • mfashara.com
  • rrrt.website
  • workai.work
  • www.eschool-ua.online

URLs

  • http://144.172.98.178/scretest.ps1
  • http://144.172.98.178/Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_platy_20.03_PDF.pdf
  • http://144.172.98.178/upload
  • http://167.88.167.254:80/upload
  • http://172.86.104.17/scratest.ps1
  • http://172.86.104.17/upload
  • http://172.86.104.17/Zmini_v_hrafiku_roboti_spivrobitnykiv_14.04.2025_PDF.pdf
  • http://172.86.114.149/seeddoc.exe
  • http://172.86.114.149:80/upload
  • http://172.86.88.15/scripttest.ps1
  • http://172.86.88.15/Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_plati_06.03_PDF.pdf
  • http://172.86.88.15/upload
  • http://172.86.88.186/scripttest2.ps1
  • http://172.86.88.186/Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_plati_10.03_PDF.pdf
  • http://172.86.88.186/upload
  • http://45.61.157.179/script.ps1
  • http://45.61.157.179/upload
  • http://45.61.159.252/visa_letter.exe
  • https://api.ipify.org
  • https://drive.google.com/file/d/1bsf3i4f0jsb8bpdsxeedaejpenzo0nwt/view?usp=sharing
  • https://drobbox.cloud/
  • https://dropmefiles.cc/ua/d/5l8x3hv/c2e4a009b0acaea484f4384134824c69/58ffd536202b020abd5b1ea453297b2a
  • https://dropmefiles.cc/ua/d/pweym/db923cfd3b8b67f23a1b6dee06f1f66c/62bef3a44fd6eb0da37ffb4121c6f354
  • https://dropmefiles.cc/ua/d/q5cy/17063277217449d39e2328a007ffb4fa/92deaf866f3f75970690704420b9dac9
  • https://dropmefiles.cc/ua/d/zfkwbuvs/326a8605975106f1672c912bd16b4e7b/30b6e997a451bbf19384612a848c5536
  • https://dropmefiles.top/ua/d/ebc5ka/d996e31032e7c288d7e20e7b82221c20/aefdd4d762a9657db41c23f9c4de424a
  • https://iocreestr.tech/zakon_rada/cabinet_ministriv_postanova_1559_2024/read/
  • https://mfashara.com/

MD5

  • 30b6e997a451bbf19384612a848c5536
  • 4cab7ec6a408477bc25a5d9f5fb30263
  • 4d1de234e39d796efe5319a4903001ff
  • 51225b5faf771938f55489f2bb128da6
  • 54525fa50265ca8a0acb25e9aed76a37
  • 61f68e5d2c0e7175250cbd11713ff807
  • 62bef3a44fd6eb0da37ffb4121c6f354
  • 65d5901b51f08d98a4156357ea0d4164
  • 687ec4159b78f825fe10443989070516
  • 79ea606b9aa085a7546182647b9677bf
  • 7d39f9cd4ba706e7ffcd0c8b52d1eb4c
  • 897966ae3a4cbd3b63e3a0eba41158a8
  • 8a633de89ddca99ca8dd38ad43cf764a
  • 92deaf866f3f75970690704420b9dac9
  • 93d0d1f7ed2c46644fb129210b4c1ccc
  • 9ef17ebb9e719145c07581179965538d
  • aaef9799a198169f8b88198cfb8c50ba
  • aef0ff60a06aee4ec0a883acf32cccd6
  • aefdd4d762a9657db41c23f9c4de424a
  • deaf2612c54c667481fc74ecc484495d
  • e3eb9783b7140076a8c3f36a1679f4dc
  • e46f1fa50b0b632477c22f15d00fabf2
  • f236c95a1ecef37823b6ea763d4a3c54
  • f79588fb4847b7c398be8457edece3e2

SHA256

  • 1235bf9c1b0d2a54e451b512ad34a81774d637ae58436416388fb3b7f901ad6e
  • 1dc1d8ccb2ca280ef9083c334432909d2a9f86eca225252a3e9a4708adc98931
  • 24885b72dc3ce5cc1530fd003bcbfb108d311de1a4ce828cb7cdc2411e705337
  • 2e38f3413f88b38ac5f958de12e6fec37dd53de3f8fb1644172e112346e5ede2
  • 3c6c0ed1ff12b5489a6838b7a9d4ab84bb8e2b5f0b46fb093b39b0f030b5ef16
  • 3f2287caa07c1238e2e61e47f5cc3f91ad739636a84fbbd86d03c2d16daf36cb
  • 444ce0318560454c4366cf4c112ab9912adba124bb8c29697ac3d344befcb7e6
  • 4bdaa2e9bc6c6986981d039b29085683ed36b5c2549466101a81ad660281465c
  • 566609e0e042b611c9d929cb94be4b5a17e7dbb884b4ebd2e0d68adc9fa6bf73
  • 6089e28a711e519890b05283de1e4abb7b63aa4d09e7ab90a92f65585779fa4b
  • 84b438fac113615c2e81f440de2cafa4e2ccd74adc4867d73df30bb9d01dcdb6
  • 89534f86ab5daaf55ce818872960eaa4eb64f4cc19118feea690638bf1156528
  • 8acb7292c2b1163746296941977d191ef8d5fcf8bd646e4f5c4ab8718fe7b866
  • 92f961d3cb29eda1214c24c0f882f49fb9e43885f696ebec2891380e6e4ec400
  • 9a921a344913d442430a31a3dc1d01aff2b416ca601fed68633021ffefc92fab
  • a3d91c4c039e50718d930cd5251e382f0f3997ec63e872539644b8c735bd4961
  • c02e57c49d940a279852109a06c19a78052dd51300975037413133c1a79e97ac
  • c386bce3de6854bd1424467242f9cf95271de39890b5a2fb3e884e509b1b03c6
  • cae156d492a4aa07e3d3e4b15f843308c09df7f2c8bf44d9e7093b4393e01fe1
  • d26aa72fd238c0408fd365b96d8aa9662be3d4c9d479309bef428e34831aaf42
  • d28c67736169af47753b5d92d82e239dc4e2b9ff03a633e5d32c8c3287e7b293
  • e7fdee4fab59f8c4351e3c9e0a478803df9c7ac5f9163d13f476d9bb4abce5ee
  • ee8d452a1cc9bcd7e0f002a901a4ce63ddf98c0e13cba415f7325cd9cdccf0b8
  • f2ee357c18fb1a3d229a365023456b4ce561db62e761e427fef638ec0f371ede
Комментарии: 0
Похожие записи
0
5 дней
IOC

Целевая шпионская активность UAC-0226 в отношении центров инноваций, государственных и правоохранительных органов с использованием стилера GIFTEDCROOK

Spyware
CERT-UA, начиная с февраля 2025 года, отслеживается целевая активность, которая осуществляется с целью шпионажа в отношении центров развития инноваций в военной сфере, военных формирований, правоохранительных
0
5 дней
IOC

Vidar Stealer: Новая стратегия обмана

Spyware
Vidar Stealer - печально известная вредоносная программа для кражи информации - впервые появилась в 2018 году и с тех пор используется злоумышленниками для сбора конфиденциальных данных, таких как куки
0
11 дней
IOC

Salvador Stealer: Новое вредоносное ПО для Android, которое выманивает банковские реквизиты и OTP

Spyware
Вредоносная программа Salvador Stealer, обнаруженная и проанализированная командой any.run, скрывается под видом банковского приложения для Android и предназначена для кражи конфиденциальной информации пользователей.