В начале этого года Palo Alto Networks реагировала на запросы о предоставлении информации о кибератаках на украинские цели, где использовались коммерческие инструменты атаки, такие как Quasar RAT. Один из партнеров предоставил образец вредоносной программы, и затем исследователи перешли к хранилищу Bitbucket, где обнаружили 10 других образцов, принадлежащих тому же злоумышленнику.
Анализируя отдельные образцы, аналитики столкнулись со сложностями, так как они имели обфусцированный код, а их конфигурации, содержащие IoC, были зашифрованы. Однако, благодаря специальным методам, удалось извлечь их конфигурации и определить семейства всех 10 образцов вредоносного ПО.
Indicators of Compromise
IPv4
- 104.21.32.12
- 142.132.232.235
- 172.67.182.33
- 177.105.132.124
- 177.105.132.70
- 5.42.64.67
- 77.105.132.70
- 82.147.85.205
Domains
- assaultseekwoodywod.pw
- cakecoldsplurgrewe.pw
- chincenterblandwka.pw
- dayfarrichjwclik.fun
- diagramfiremonkeyowwa.fun
- neighborhoodfeelsa.fun
- opposesicknessopw.pw
- pinkipinevazzey.pw
- politefrightenpowoa.pw
- ratefacilityframw.fun
- reviveincapablewew.pw
URLs
- http://128.140.69.37:80
- https://steamcommunity.com/profiles/76561199588685141
SHA256
- 04ec79fb6e3260c8db46aea8e5cc6a42ad6e2af1c7c0cf46866a06b4acb98bae
- 09df06e192569b671d8f4b7587a5ba184392e80195968d0e4f1ab0c21de65c5e
- 101b9564ba11aa44372b37b1143eac0d5dd1e3f38c6a35517de843b9f23b3704
- 50351b1ff64cd2e8d799f5153ff853a650e8782c49f241a123c8779ff3fa2a3d
- 504a6b8ce51c3be7de7e74c98c6da3fe12b186f634c441b43fa21f3350b7f1a3
- 564d742044e5ac9f6279c01c5c29bb801606b63c6c2cbfc2af09d8f2a73b84a6
- 5b8e99a46d7c077152ef954e74a2ff1ad3de0adb34aa0b96f6f02fa60426d12f
- d69fe5cb1ded3aaa9a8b64824d820a72da0a1d43c9298cfcb5072f0060aefb8c
- e20124da608445d9df1c71b1ad3530331a86b773b0b2f6a43ad32ec3d061a297
- e8af36287e2270581fd5f2d28c6e0b83b337f58d430554d28dbf55d2ca09fcca
