Главная страница » IOC
0
26 дней
IOC

Mythic Likho APT IOCs

security

В январе 2025 года компания «Лаборатория Касперского» получила запрос на оценку угрозы, исходящей от подозрительного письма, полученного отделом кадров одного из машиностроительных заводов.

Mythic Likho APT

Письмо было якобы от отдела кадров другой компании с просьбой предоставить характеристику на бывшего сотрудника. Письмо содержало недействительную ссылку, но при дальнейшем исследовании была обнаружена вредоносная активность на связанном поддомене files.gkrzn[.]ru. По ссылке hxxps://files.gkrzn[.]ru/direct/1baf2d23-5f3a-4f79-8575-22e1072657070f/e226ebbd/Resume_ZelibRV.rar исследователи обнаружили вредоносный архив, на который, по их мнению, могла вести ссылка из письма.

Внутри вредоносного архива находился еще один архив под названием Resume.rar, который содержал файл под названием Rez_ZelibRV.lnk. При открытии этого файла выполнялась команда, запускавшая скрипт с рабочим каталогом C:\Users\Public\Libraries. Этот скрипт, названный 20.ps1, выполнял два основных действия: переименовывал файл 3(1).jpg в Rez_ZelibRV.pdf и открывал его, а также запускал бэкдор Merlin из файла 19.jpg, используя технику непрямого запуска с помощью утилиты conhost.

Файл Rez_ZelibRV.pdf, который открывался во время выполнения скрипта, представлял собой документ-обманку, содержащий поддельное резюме претендента на руководящую должность. Бэкдор, известный как Merlin, представлял собой инструмент постэксплойта с открытым исходным кодом, который мог быть скомпилирован для различных операционных систем и взаимодействовать с сервером по различным протоколам.

Merlin использовал шифрование AES для связи с командным центром, расположенным на домене yuristconsultant[.]ru, и отправлял различные системные данные, такие как IP-адрес, версия ОС, имя хоста, имя пользователя и архитектура процессора. Интересно, что «Лаборатория Касперского» заметила связь между бэкдорами Merlin и Loki: экземпляр Merlin загружал в систему жертвы образец Loki версии 2.0.

Indicators of Compromise

URLs

  • https://mail.gkrzn.ru:443/data
  • https://pop3.gkrzn.ru/data
  • https://yuristconsultant.ru:443/data_query

MD5

  • 124d2cb81a7e53e35cc8f66f0286ada8
  • 6b16d1c2d6d749c8b0e7671e9b347791
  • ded148a5a34e1d50f2cd6c9685bf28e8
Комментарии: 0
Похожие записи
0
3 часа
IOC

APT37 - RokRat

security
APT37, также известная как ScarCruft, Reaper и Red Eyes - северокорейская хакерская группировка, спонсируемая государством и действующая с 2012 года. Изначально ее деятельность была сосредоточена на правительственном
0
3 часа
IOC

Squid Werewolf APT IOCs

security
В ходе недавней кибератаки злоумышленники использовали фишинговую электронную почту, чтобы атаковать ключевых сотрудников одной из промышленных организаций. Обнаруженная в декабре 2024 года экспертами BI.
0
1 день
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.