Главная страница » IOC
0
2 года
IOC

MAGICSPELL Loader IOCs

security

CERT-UA обнаружен веб-сайт hxxps://www.ukrainianworldcongress[.]info/, копирующий английскую версию веб-ресурса международной неправительственной организации "Всемирный конгресс украинцев".

На упомянутом вебсайте размещены два DOCX-документа "Overview_of_UWCs_UkraineInNATO_campaign.docx" (MD5: d227874863036b8e73a3894a19bd25a0) и "Letter_NATO_Summit_Vilnius_2023_ENG(1). docx" (MD5: 00ad6d892612d1fc3fa41fdc803cc0f3), каждый из которых содержит в своей структуре RTF-документ "afchunk.rtf" (MD5: 3ca154da4b786a7c89704d0447a03527), в котором находятся вредоносные URL-адрес и UNC-путь.

Открытие DOCX-документов и успешная эксплуатация соответствующих уязвимостей инициирует цепь поражения, которая, среди прочего, предусматривает:

  • взаимодействие с инфраструктурой атакующих с использованием SMB и HTTP
  • загрузку и запуск CHM-файла, который содержит HTM и MHT (Web Archive) файлы
  • загрузку и запуск URL (InternetShortcut) файла
    загрузка и запуск VBS файла

При этом, упомянутый VBScript-файл обеспечивает возможность запуска EXE, DLL, PS1, CPL файлов, которые размещены на SMB-ресурсе.

На момент исследования получены следующие файлы:

  • "testdll.dll" (MD5: 8639c28a3fba0912fcf563b31f97d300)
  • "testdll64.cpl" (MD5: e6f8b0299ca4d44bf09dc4e443fb503c)
  • "calc.exe" (MD5: 76f918cbfa4075101a61aac74582f755)

Исполняемые файлы "testdll.dll" и "testdll64.cpl" признаков вредоносного программного обеспечения не содержат. Вместе с тем, файл "calc.exe" классифицирован как вредоносная программа (лоадер) MAGICSPELL, назначением которого является загрузка, дешифровка, обеспечение персистентности и запуск другого исполняемого файла.

Анализ содержимого SMB-ресурса позволил установить 195 IP-адресов, использовавшихся ЭВМ, с которых осуществлялось взаимодействие с описанной инфраструктурой. Однако, анализ IP-адресов свидетельствует об их географической распределенности (около 30 разных стран) и принадлежности большинства из них к VPN-сервисам, исследовательским организациям и т.д.

Использование имени общественной организации "Всемирный конгресс украинцев", а также тематики членства Украины в Организации Североатлантического договора в качестве приманки может свидетельствовать о том, что описанная кибератака имеет отношение к Саммиту НАТО, который будет проходить 11-12 июля 2023 года в Вильнюсе (Литовская Республика).

Indicators of Compromise

IPv4

  • 104.234.239.26
  • 109.105.198.145
  • 213.139.204.173
  • 65.21.27.250
  • 74.50.94.156

Domains

  • finformservice.com
  • ukrainianworldcongress.info

URLs

  • http://109.105.198.145:8080/mds/O--------------------------
  • http://65.21.27.250:8080/mds/D--------------------------
  • http://74.50.94.156/MSHTML_C7/RFile.asp
  • http://74.50.94.156/MSHTML_C7/start.xml
  • http://finformservice.com:80/api/v1.5/subscription?token=eyjhbgcioijiuzi1niisinr5cci6ikpxvcj9.eyjpzci6mtizndu2nzg5lcjuyw1lijoism9zzxboin0.opossw7e485lop5przscxhb7sr6saomrckffwi4rp7o
  • http://finformservice.com:8080/mds/o--------------------------
  • http://finformservice.com:8080/mds/s--------------------------
  • https://ukrainianworldcongress.info/sites/default/files/document/forms/2023/letter_nato_summit_vilnius_2023_eng.docx
  • https://ukrainianworldcongress.info/sites/default/files/document/forms/2023/overview_of_uwcs_ukraineinnato_campaign.docx

MD5

  • 00ad6d892612d1fc3fa41fdc803cc0f3
  • 0c72b2479316b12073d26c6ed74d3bdc
  • 0fff39ae5d049967c2c74db71eeda904
  • 218a069f4711d84100062d01a41d960f
  • 26a6a0c852677a193994e4a3ccc8c2eb
  • 3ca154da4b786a7c89704d0447a03527
  • 476274dc8efda182acd47ac0a5362a5a
  • 510823c639f6a608b59d78b71be50aab
  • 54cfc7f45302d9793af97bd7d33c6e9a
  • 76f918cbfa4075101a61aac74582f755
  • 7bbe0e887420d55e43ce1968932e1736
  • 7fd97c71ef08a0f066ce4fbf465d1062
  • 8639c28a3fba0912fcf563b31f97d300
  • a38aa3eaf3ffb79fbd50f503ccea2f25
  • d227874863036b8e73a3894a19bd25a0
  • e65a1828d6afe3f27b4ec7ec1a2fee20
  • e6f8b0299ca4d44bf09dc4e443fb503c
  • f0cd84693a7481834fa021496c3ec9e9
  • f49a0d153660cf95d7113c1d65e176ff
  • fe8a942370a6881ee9d93f907cae7aa5

SHA256

  • 07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d
  • 2cc2d41dc69f6351f03a605cea85faf040f48bba8cca42c16102c398ae32a25d
  • 3a3138c5add59d2172ad33bc6761f2f82ba344f3d03a2269c623f22c1a35df97
  • 48142dc7fe28a5d8a849fff11cb8206912e8382314a2f05e72abad0978b27e90
  • 598ac66735e0298185d557ddedec2f0b565fb689c3da6eaa7c27eaf76c5283a4
  • 6f763a62b0e17919d1b15f178dddddb1b7557642692c5fdb90f369da664506d2
  • 7309ee853efd549f90c493cfa41a6062e2d99c05448180d62d79f147f12a2aca
  • 7a1494839927c20a4b27be19041f2a2c2845600691aa9a2032518b81463f83be
  • 8517060b5e503eb2c8cf8c5c8e7d1a1c725ac5af3331e0fb52cbd4cd0bb2526a
  • 9bcdb907251d422f23a08c3a16f5a9af4111cda41171d220b6d0c7becf653729
  • a2f6cc6df6eb6c6c265fe09cd7dab1f2a0c1fc6b8981268274a3bfd98c0a740c
  • a61b2eafcf39715031357df6b01e85e0d1ea2e8ee1dfec241b114e18f7a1163f
  • b55c5d2e6101e603b059e561ced6e851a4cb6d02c8b2ec1c18d15ed434f33ecf
  • c187aa84f92e4cb5b2d9714b35f5b892fa14fec52f2963f72b83c0b2d259449d
  • d1bb131bafdb49afe8ce12402abc5ae96f394dd3eb8a898853d1db8333df1240
  • d3cb62891f32f7ab71f2a2e12143e6c531134d4180c3e09671d54d7c5e7659be
  • e7134dbe0ba70a949d3cb0a1fce617e83e55363f05a186dba09f5f8c91670825
  • e7cfeb023c3160a7366f209a16a6f6ea5a0bc9a3ddc16c6cba758114dfe6b539
  • ee46f8c9769858aad6fa02466c867d7341ebe8a59c21e06e9e034048013bf65a
  • f08cc922c5dab73f6a2534f8ceec8525604814ae7541688b7f65ac9924ace855
Комментарии: 0
Похожие записи
0
12 дней
IOC

Целевая шпионская активность UAC-0226 в отношении центров инноваций, государственных и правоохранительных органов с использованием стилера GIFTEDCROOK

Spyware
CERT-UA, начиная с февраля 2025 года, отслеживается целевая активность, которая осуществляется с целью шпионажа в отношении центров развития инноваций в военной сфере, военных формирований, правоохранительных
0
13 дней
IOC

Кибершпионаж с использованием PowerShell-стилера WRECKSTEEL

Spyware
Национальный агентство по реагированию на компьютерные чрезвычайные события в Украине (CERT-UA) принимает меры по сбору и анализу данных о кибератаках с целью предоставления информации о киберугрозах.