Главная страница » IOC
0
2 года
IOC

LOGPIE Keylogger и CHERRYSPY Backdoor IOCs

security

CERT-UA принял меры по выявлению и реагированию на кибератаку в информационно-коммуникационной системе одного из государственных органов Украины.

Выяснено, что 18.04.2023 и 20.04.2023 на электронный адрес ведомства якобы с официального почтового ящика Посольства Таджикистана в Украине (вероятно, в результате компрометации последнего) отправлены электронные письма, первое из которых содержало приложение в виде документа с макросом, а второе - ссылку на тот же документ.

В случае загрузки документа и активации макроса на ЭВМ будет создан и открыт DOCX-файл "SvcRestartTaskLogon", который также содержит макрос, что обеспечит создание еще одного файла с макросом "WsSwapAssessmentTask". Назначением последнего является создание файла "SoftwareProtectionPlatform", что классифицирован как HATVIBE, а также запланированного задания для его запуска. HATVIBE представлен в виде кодированного VBScript-файла (VBE), который функционально обеспечивает возможность загрузки и запуска других файлов.

В процессе компьютерно-технического исследования определено, что 25.04.2023 при неустановленных обстоятельствах (вероятно, с помощью HATVIBE) на ЭВМ созданы дополнительные программы: кейлогер LOGPIE (обеспечивает сохранение в файл значений нажатий на клавиатуру и содержимого буфера обмена) и бэкдор CHERRYSPY (обеспечивает выполнение Python-кода, полученного с сервера управления). Упомянутые файлы разработаны с использованием языка программирования Python и защищены с помощью утилиты PyArmor. При этом модуль "pytransform", в котором реализованы механизмы шифрования и обфускации кода, дополнительно защищен с помощью Themida. Следует добавить, что для поиска и эксфильтрации файлов, в том числе результатов работы кейлоггера LOGPIE (расширение файла: ".~tmp"), используется вредоносная программа STILLARCH (пример расширений файлов: ".doc",".docx",".rtf",".xlsx",".xls",".pdf",".ppt",".pptx",".~tm",".bmp",".rar",".jpg",".odt",".p12",". heic",".enc",".jpeg",".tiff",".tif",".zip",".crf",".enc",".cr",".lhz",".pem",".pgp",".sbx",".tlg").

Дополнительное изучение инфраструктуры и связанных файлов позволили сделать вывод о том, что среди объектов заинтересованности группы есть организации из Монголии, Казахстана, Кыргызстана, Израиля, Индии.

Indicators of Compromise

IPv4

  • 172.104.62.59
  • 185.203.117.6
  • 206.166.251.216
  • 79.124.60.180
  • 84.32.188.123

Domains

  • diagnostic-resolver.com
  • ms-webdav-miniredir.com
  • net-certificate.services

URls

  • http://206.166.251.216/connect.php
  • http://84.32.188.123/hftqlbgtg.php
  • https://diagnostic-resolver.com/
  • https://ms-webdav-miniredir.com/connection.php
  • https://ms-webdav-miniredir.com/getdata.php
  • https://ms-webdav-miniredir.com/takeanwser.php

MD5

  • 10cab7f70c3b094f2d47e425e42a6013
  • 14a8aad94b915831fc1d3a8e7e00a5df
  • 36379daf7ee88e10a395958cacf6f7c0
  • 482406314bdb06a44fcdd53f67ddcaf1
  • 5f2d5eb1c13bf0aeaddc1986f44a2444
  • 5ffd5424cda3878ea3974ec91a0b6920
  • 6c61cda823e4174113a0f08a3ba7a689
  • 70e4305af8b00d04d95fba1f9ade222d
  • 774606fd7c7fe7e2bdfe4fc190c7472f
  • 89f15568bc19cc38caa8fd7efca977af
  • 8c5ba061fec025fd37f1d9ca9029f9ba
  • bac64cabd0f50f34be91e91d41031482
  • c273cdfcfd808efa49ec0ed4f1c976e0
  • ccc4c2174641daab7a623535869df715
  • e9076cc28cfeb8912c844b2fddad0066
  • ea7b4922e6f6a121ba4dbdf5d883f22c

SHA256

  • 1d2cfdafdf0ab4a2f17befb94c3b84ff24b96a18fb4ab8d69f225407f7d38952
  • 5429935c3446dd1eda1930af9d249e5b0a1e6193c67e000ab072ffeb9db23f66
  • 6db96476ce30ebc6218aac12d9c9f814254ac9d10b4bbbc53cdc1df666f4b7a7
  • 70d8e503fd199de816815b88e82fe70802955437cdc3785cbd0d34e0343ce5f1
  • 75395359af2d61b2434d68fbee12ebc9947c4d113ca8363dd060caab76077474
  • 7fe6db9438e5dadfd2b333f77fab14c956d57ddfded2aa58c3b13cad94b16bfa
  • 9e2dfe15eae41295f59b1d4775f37aa0c5bb5e43883903ff07b803865b1ae33e
  • ab4f206a4b383dba4e6c659404561a50c31d4b771ec23e57b242cadbb7df88ae
  • afbf4a1ada282a9bf85d8f390df304e4506646627ee4837710291b526eb31840
  • c517b4e59f1998fdd05dd00b08dfbbdb98f961a6466aa84b7fcafec26b2bbfe2
  • c66cba6b9e4ad7b0178123f379f021622ffda9c9d70fed9a3d00fe041fe501b1
  • d2005b2b3a6bfe22477fb9ad965c0473fc525602333f939eb5db17878e31d078
  • d2a0e6e5bdd66332fca965dad6126c1d6ef956e3782c431f1f41e99f45926331
  • d42dfb13b49125aa0ba80482319a1654cafa8a9ee6d63c09c82b3a3ec7fdaee2
  • e0a59595fbfe3f9465c265888ee6a42039d0fea3838b467b2f9c4d4a7c0f0401
  • fdc59293e2ed95e72e11d627c733a7e4234f1b428737147c6ee34f02d92a92eb
Комментарии: 0
Похожие записи
0
3 дня
IOC

Целевая шпионская активность UAC-0226 в отношении центров инноваций, государственных и правоохранительных органов с использованием стилера GIFTEDCROOK

Spyware
CERT-UA, начиная с февраля 2025 года, отслеживается целевая активность, которая осуществляется с целью шпионажа в отношении центров развития инноваций в военной сфере, военных формирований, правоохранительных
0
4 дня
IOC

Кибершпионаж с использованием PowerShell-стилера WRECKSTEEL

Spyware
Национальный агентство по реагированию на компьютерные чрезвычайные события в Украине (CERT-UA) принимает меры по сбору и анализу данных о кибератаках с целью предоставления информации о киберугрозах.
0
8 дней
IOC

Latrodectus Backdoor IOCs - Part 15

security
Unidentified 111 (он же: Latrodectus, BLACKWIDOW, Latrodectus, Lotus) - впервые обнаруженный в октябре 2023 года BLACKWIDOW представляет собой бэкдор, написанный на языке C, который взаимодействует по