Главная страница » IOC
0
8 месяцев
IOC

OldGremlin APT IOCs

security

Группа разработчиков вымогательского ПО OldGremlin, известная своими атаками на российские компании в период с 2020 по 2022 год, вновь объявилась после периода бездействия.

OldGremlin

Специалисты F.A.C.C.T. обнаружили новый список рассылки и новый инструмент злоумышленников под названием OldGremlin.JsDownloader. Ранее эта группа была известна тем, что имитировала домен Diadok в своих атаках, и недавнее обнаружение электронного письма, отправленного с домена diadok[.]net, привлекло внимание F.A.C.C.T. Письмо, отправленное 12 августа 2024 года с темой «Уведомление от Diadok: документы требуют вашего участия», содержало URL-ссылку для загрузки файла excel. Ссылка вела к загрузке архивного файла, содержащего LNK-файл, который инициировал соединение с сервером WebDav и выполнял команду на стороне жертвы.

Использование WebDav в атаке напоминает предыдущие атаки OldGremlin, как и использование интерпретаторов Node.js. Загружаемый файл Node.js имеет версию v0.10.48, доступную для скачивания с официального сайта Node.js, а сценарий JavaScript под названием word.txt выполняет команду, открывающую ложный файл XLS. В контексте сценария JavaScript запускается еще один дочерний процесс Node.js, на этот раз с использованием другой версии интерпретатора Node.js (v12.22.12), доступной для загрузки с официального сайта. Этот процесс декодирует и запускает сценарий JavaScript под названием OldGremlin.JsDownloader, целью которого является загрузка и выполнение произвольных сценариев JavaScript.

OldGremlin.JsDownloader относится к категории скриптов-загрузчиков, которые подключаются к определенному серверу и отправляют случайно сгенерированный набор данных. В ответ сервер выдает подпись, которая затем проверяется с помощью специальных параметров открытого ключа. После проверки скрипт может загружать и выполнять дальнейшие сценарии JavaScript по указанию злоумышленников.

Это последнее открытие F.A.C.C.T. проливает свет на тактику и инструменты, используемые группой OldGremlin ransomware в своих недавних атаках. F.A.C.C.T. подтверждает, что группа по-прежнему нацелена на российские компании и использует такие сложные техники, как мимикрия и эксплуатация интерпретаторов WebDav и Node.js.

Indicators of Compromise

IPv4

  • 157.230.18.205
  • 165.22.80.171
  • 46.101.122.204

Domains

  • 1cbit.org
  • diadok.net
  • diadok-documentscdn.c688de.com

URLs

  • http://46.101.122.204/
  • http://46.101.122.204/node.exe
  • http://46.101.122.204/node/node.exe
  • http://46.101.122.204/schet_faktura-20240811.xlsx
  • http://46.101.122.204/word.txt
  • http://diadok-documentscdn.c688de.com/
  • http://diadok-documentscdn.c688de.com/node.exe
  • http://diadok-documentscdn.c688de.com/node/node.exe
  • http://diadok-documentscdn.c688de.com/schet_faktura-20240811.xlsx
  • http://diadok-documentscdn.c688de.com/word.txt
  • https://1cbit.org/0mfu
  • https://1cbit.org/2z0zv6qms0
  • https://1cbit.org/9amh
  • https://1cbit.org/m9iuabiz
  • https://1cbit.org/wqt49
  • https://1cbit.org/wrwpf
  • https://1cbit.org/yvbo6wk6lk
  • https://diadok.net/1ealfus19t
  • https://diadok.net/4bhjk9j
  • https://diadok.net/4qcn9ducdw
  • https://diadok.net/ciuw297j
  • https://diadok.net/g24c
  • https://diadok.net/jpkkq8ccf6
  • https://diadok.net/qmkt2da6qh
  • https://diadok.net/yh45dsvo

MD5

  • 1f9af632ef695fe9a93e3195a337fcd9
  • 47ae2a781ed72c5dcbdf5e4169a571b1
  • 50ee0120c92e3061eee0043cbe497f44
  • 7f90b7342cdee77f5bb2d7445b505eb9
  • 932fc8e1415488a39c8b690550102aaa
  • b95542a071fa6333b9ab7122b946fd26
  • bffd390d95c16d58886fc66ae633c884
  • c646da3030757f47ef82eab03d3245fd

SHA1

  • 0e639b57368307a37e86ecb592288e9c1104adaf
  • 3e01aae56dc2fac3506987197f48db65423717f9
  • 7e50f326fcb584c8c25ef902c90116b7496c5c64
  • a36034740e659fdd06b5827382317965a26b4121
  • ad9e9f1365ad547b7c2eb91717b0cebeefb0e18e
  • ae22b79a3f55d8fc9c1b78a9cb008fff1c104901
  • c3cc943333a758020722d0cf831d0786c5ccde06
  • c5e980366bf580584874d07d387555a76c460c6c

SHA256

  • 0b5ff6ee2deb1014fab7cc45c84c7eb97b1739bd34b695fc524fc3dff06d9f2f
  • 24a6f2c50c5d6382983d2964718c554e7597f0d027377c489d8ea60852e5ea22
  • 2926a8602b280c049241f75caa9c6ec2fc8bd579937b0564813215501478895f
  • 4bacc8023521a6501e179d839e64ed5c3938c58b04ea2806cea29f2492c5da7b
  • 54705074b10f9734ed2ff4573459ac89b9b56a7e5d92cf14a3d32e6a8c4e8211
  • 60a1dd1e63d5e11e34c70d3d40b8869e5964254e1b8caa4a64e5da9eb9d6aa15
  • f11a493325098883faf249e81748eb5a471391860037dc690489314e1357fc03
  • f81888a42559c255758607e4b5feff8fc2ea7aa6c01f357fad7a55a3e5fdf156
Комментарии: 0
Похожие записи
0
1 день
IOC

Кампания CrazyHunter нацелена на критически важные секторы экономики Тайваня

security
Группа вымогателей CrazyHunter стала серьезной угрозой для организаций в Тайване, особенно в сферах здравоохранения, образования и промышленности. Они используют сложные техники, такие как метод "принеси
0
3 дня
IOC

Slow Pisces нацелился на разработчиков с проблемами кодирования и представил новое специализированное вредоносное ПО на Python

security
Slow Pisces - это северокорейская киберпреступная группа, спонсируемая государством КНДР. Они в основном занимаются кражей криптовалюты, нападая на крупные организации в криптовалютном секторе.