Главная страница » IOC
0
2 года
IOC

POWERSTAR Backdoor IOCs

security

Иранская государственная организация Charming Kitten, известная также под именами APT35, Mint Sandstorm, Cobalt Illusion и Yellow Garuda, начиная с мая, запустила новую волну атак с использованием фишинга и бэкдора POWERSTAR.

В последних атаках POWERSTAR компания Charming Kitten использовала дополнительные меры по предотвращению обнаружения: для загрузки бэкдора с Backblaze использовался LNK-файл внутри защищенного паролем RAR-файла, говорится в отчете компании Volexity.

Исследователи также обнаружили, что бэкдор позволяет не только удаленно выполнять команды PowerShell и C#, но и собирать системные данные и скриншоты, а также загружать и выполнять модули, удаляя при этом ключи реестра, связанные с персистентностью, и другие индикаторы вредоносной активности. Другой вариант POWERSTAR, позволяющий жестко закодированный поиск C2-сервера через децентрализованное декодирование файлов, хранящихся в InterPlanetary Filesystem.

"Упоминание механизмов персистентности и исполняемых полезных нагрузок в модуле POWERSTAR Cleanup наводит на мысль о более широком наборе инструментов, используемых Charming Kitten для осуществления шпионажа с помощью вредоносного ПО", - заявили исследователи.

Indicators of Compromise

Domains

  • fuschia-rhinestone.cleverapps.io
  • openlibrary.ignorelist.com

URLs

  • http://bluebox10546.s3.us-west-004.backblazeb2.com/sa/88W3X81EN/cettj34c.txt
  • https://bluebox10546.s3.us-west-004.backblazeb2.com/k41we/btw74c.txt
  • https://bluebox10546.s3.us-west-004.backblazeb2.com/share/Us-China.pdf
  • https://personalstorage1687.s3.us-west-004.backblazeb2.com
  • https://s3.us-west-004.backblazeb2.com/bluebox10546/k41we/bts74e.txt
  • https://s3.us-west-004.backblazeb2.com/bluebox10546/k41we/k24510.txt

MD5

  • 5398e9063ee0d6189cf59c8d4403a40d
  • 99dc6ab3f88629069b5109f5ed530e25
  • a2b407eac00422b2bc7ac59a74fc47e0
  • e4e8864f88724b736ec3568fd8916796
  • f5eddfaeb353ceca4b8713f88f030604

SHA1

  • 0161ba63e65a2b39b754b9d16cf2bc62de98e99a
  • 214bf21a567b678ec4250c1aca4cf71275e2860e
  • 2581e9bf9fa219cb1bce393f7492212612228221
  • 5671ff66d0ea0cd93b04ca0ab35ff4e33e33833a
  • e588837d652d2cd96c5cb44f8f98fd7d82cc5d30

SHA256

  • 823ffbcc62bd3296957a47fbf8c238949584996911e71d5140a25d0a8f6abd80
  • 9777f106ac62829cd3cfdbc156100fe892cfc4038f4c29a076e623dc40a60872
  • 977cf5cc1d0c61b7364edcf397e5c67d910fac628c6c9a41cf9c73b3720ce67f
  • 991620817274d4031889134d40294cc6e086cf56e738a8ea78c49860c6dccdce
  • b79d28fe5e3c988bb5aadb12ce442d53291dbb9ede0c7d9d64eec078beba5585
Комментарии: 0
Похожие записи
0
9 дней
IOC

Latrodectus Backdoor IOCs - Part 15

security
Unidentified 111 (он же: Latrodectus, BLACKWIDOW, Latrodectus, Lotus) - впервые обнаруженный в октябре 2023 года BLACKWIDOW представляет собой бэкдор, написанный на языке C, который взаимодействует по
0
26 дней
IOC

Необычные вредоносные программы последнего времени

security
В последнее время эксперты компании Palo Alto Networks обнаружили несколько новых образцов вредоносного программного обеспечения (ВПО), обладающих уникальными характеристиками, что затрудняет их атрибуцию и определение функциональности.