Главная страница » Индикаторы компрометации
0
сейчас
Индикаторы компрометации

Раскрыта инфраструктура фишинговой кампании с использованием сложных многоступенчатых атак

remote access Trojan

Группа исследователей кибербезопасности из Censys обнаружила масштабную фишинговую кампанию, использующую сложную многоступенчатую систему заражения для распространения вредоносного ПО. Атака начинается с загрузки сильно обфусцированных VBS-скриптов, которые затем запускают цепочку действий, приводящих к установке троянов удаленного доступа (RAT), таких как Remcos, LimeRAT, DCRat и AsyncRAT.

Описание

Кампания использует трехэтапную схему заражения. На первом этапе жертва получает обфусцированный VBS-скрипт, который декодирует base64-кодированный PowerShell-скрипт. Второй этап включает загрузку дополнительных компонентов, включая инжектор и сам RAT, с различных платформ, таких как Internet Archive, где вредоносный код скрыт в JPEG-файлах, а также с файлообменников вроде paste[.]ee и Bitbucket. На третьем этапе инжектор загружает финальный RAT в память системы.

Командные серверы (C2) используют динамический DNS-сервис duckdns[.]org для ротации IP-адресов, что затрудняет их блокировку. Исследователи также обнаружили возможную связь с APT-C-36 (Blind Eagle) - колумбийской хакерской группировкой, хотя подтвердить это окончательно не удалось.

Одним из ключевых моментов расследования стало обнаружение ошибки злоумышленника: в одном из репозиториев Bitbucket использовался реальный email и никнейм "Shadow GRT", что позволило частично идентифицировать одного из участников кампании.

Эксперты рекомендуют организациям усилить мониторинг подозрительных VBS и PowerShell-скриптов, а также обращать внимание на необычные соединения с динамическими DNS-доменами.

Индикаторы компрометации

IPv4 Port Combinations

  • 146.70.137.90:3010
  • 154.26.154.57:2404
  • 186.169.80.199:1515
  • 193.142.146.50:2404
  • 193.23.3.29:2404
  • 213.199.55.238:5555
  • 213.209.150.22:55140
  • 216.250.253.13:2404
  • 45.133.180.26:3010
  • 45.141.233.60:55330
  • 78.142.18.221:2401
  • 89.117.77.234:2404

Domains

  • dcupdate.duckdns.org
  • dgflex.duckdns.org
  • gotemburgoxm.duckdns.org
  • purelogs2025.duckdns.org
  • rem25rem.duckdns.org
  • remc21.duckdns.org
  • romanovas.duckdns.org
  • sosten38999.duckdns.org
  • trabajonuevos.duckdns.org

URLs

  • https://archive.org/download/new_ABBAS/new_ABBAS.jpg
  • https://archive.org/download/new_image_20250413/new_image.jpg
  • https://archive.org/download/new_image_20250509_1852/new_image.jpg
  • https://bitbucket.org/notificacionesramajudicialcolombia2025/notificacionesjudiciales20255342/downloads/31agosto.txt
  • https://bitbucket.org/notijudiciales2025ramajudicial/notijudiciales022561134/raw/9963a857a61525ee23bb8727a0b8ad8f4c09b162/respaldorepe33
  • https://bitbucket.org/ramajudicialcolombia20252026100809283/notificacionesjudiciales2025874733/downloads/31agosto.txt
  • https://bitbucket.org/sostener-marzo-2025/sostener/raw/2a8ab6d18d53f25f826cb0cefbda28a7a61c2f77/sostener
  • https://bitbucket.org/sostener-marzo-2025/sostener15/raw/0592a174dcc1420909aa22c7f0641602d2ac4a2f/sostener15
  • https://bitbucket.org/sostener-nuevo-mayo-9/sostener/downloads/sostener.txt
  • https://paste.ee/d/6aKpKL23/0
  • https://paste.ee/d/gI4b6U2d/0
  • https://paste.ee/d/TlT93nCU/
  • https://paste.ee/r/7iYdhTvx/0
  • https://paste.ee/r/qRfslieM/0

SHA256

  • 06469b3dd05621ecca3f37422c35d29a9225247b518e88788ae5b2d36d6ad765
  • 147d83d58ba5ab7429dea557c9d5579a609b8d460522a745b841ee22e73c5b33
  • 274db7b7ec6f0e233a791b06f00bf82fe570a6869ed7df804e5b3e47006c3763
  • 319a560130015fa1c53149234321ba5313e5a93f06de6675f5da4a8c2dfa1cf1
  • 3a98f55acd11e08e9a8090f8955bc51cb7de692c865074f9f5a68de813860df2
  • 41781819707c4d4b0173d63da71b0c3b7b2ae8794b08c4cc26dc201e1adb5f0f
  • 4297de28d569560bf2cd287e1a44771ec4f8deac993cb69b54b36fa497af52d3
  • 474ce68f3ade2dd6a215ea7ae6d5d9fb6a1298bdda55417e9ed58ca8ad143955
  • 4ff7dc3005e7c33836c224ef8715ab09280d0d2c4e0c441e19bd59bc3af6b7b9
  • 59339b7d2ca67b55eef533e66eede5cda4b6b62e5823786ef881d387dff902a5
  • 657e021f0dfdd8c628a428a824da278d14d674aefd248f86a58f5bbe4472f0dc
  • 7dde62518fe19b2e6c8a17b29339e7c11f655da8adfbfc8d1c6d499c967f0a15
  • 81d75922646f0d7fab2613307117867cba27e9c71c3f57d8ca6627666df709c7
  • 95f61fba6418c812c4c62d0c7ee4c8e5c369fc76e044cab6de3b6ddf787db2ed
  • ad8ff8bba2c5ebc9781993dd7512f904b4acd65337e134951ed47432ceb554a2
  • b07d45eff14b4f083365d736010157724ac0e2f89770aece807fe67fa59ef7ce
  • b0ae166bcd563139925f2203f90e31efd0b067cf16fcce390a0e149f57d4c94d
  • b7d205a1560b07a92d744053744c29823064e2c415a71887fccd8524a3cad3fb
  • bc017dce8d74cef666069fa07d66e3f1ea952d0b1a0e50f51a8cc3b920da0966
  • bf7fd17c0c92daa075224804a037b5940872ac4011f161e49bc0c790bbfa7d43
  • cfb58601339563b1fc1ecf3f9db1ce704e515cad7eacacf69a7e88704646304f
  • d5095fc28d9b189698d2feebe96eceb5ee9d31877a0f2ed970356ff079455d73
  • d8119df3e735dba78bc6c528f2737d8acb2e87f442596c810afcb5fa85261ad5
  • ed6643adcd866ebe085c51be955c632a8fce08efce99cf87f8a42dcf1e5ef36a
Комментарии: 0
Похожие записи
0
3 дня
Индикаторы компрометации

В Италии зафиксирована масштабная кампания по распространению трояна Remcos через фишинговые письма

remote access Trojan
Исследователи из CERT Agid обнаружили активную вредоносную кампанию, направленную против пользователей в Италии. Атака была зафиксирована 10–11 июня 2025 года и использует троян Remcos, который распространяется
0
3 дня
Индикаторы компрометации

Новая волна атак с использованием Quasar RAT: зловредный код скрывается в BAT-файлах

remote access Trojan
В июне 2025 года исследователи обнаружили новую кампанию с использованием трояна Quasar RAT, который распространяется через сложно обфусцированные BAT-файлы. Этот вредоносный инструмент, известный своей
0
3 дня
Индикаторы компрометации

Злоумышленники подделывают сертификаты Qi'anxin: целенаправленные атаки на клиентов блокчейн-индустрии

remote access Trojan
Команды Qi'anxin Threat Intelligence Center и Skyrocket Falcon обнаружили новую группу хакеров, атакующих клиентов блокчейн-сектора. Злоумышленники распространяют вредоносный ZIP-архив под названием "transfer screenshot 2025.
0
3 дня
Индикаторы компрометации

От доверия к угрозе: как хакеры используют Discord для скрытой доставки вредоносного ПО

information security
Check Point Research обнаружил активную кампанию, в которой злоумышленники эксплуатируют уязвимость в системе приглашений Discord. Атака основана на перехвате устаревших или удаленных ссылок-приглашений