Red Deer Operation IOCs

Название "Red Deer" было выбрано для этой операции потому, что угрожающий агент, стоящий за этой фишинговой кампанией, выдавал себя за израильскую почтовую компанию ("Почта Израиля"), логотипом которой является красный олень.

Фишинговое письмо представляет собой классическую попытку оказать давление на пользователя с помощью социальной инженерии, информируя его о том, что его ждет посылка и что ему необходимо выбрать предпочтительный способ доставки, открыв вложение.

Вложение представляет собой файл .html, который по умолчанию будет открыт в браузере пользователя.

"HTML-документы могут хранить большие двоичные объекты, известные как JavaScript Blobs (неизменяемые данные, представляющие собой необработанные байты), которые впоследствии могут быть сконструированы в файлоподобные объекты".

После открытия html-файла пользователем автоматически загружается файл образа ISO (с типом расширения .iso). Это часть техники, называемой HTML Smuggling.

Эта цепочка является частью 3losh RAT, которая представляет собой модифицированную версию вредоносной программы AsyncRAT.

Indicators of Compromise

IPv4

• 134.255.234.198
• 142.202.240.126
• 146.59.161.194
• 149.202.0.249
• 15.204.170.1
• 185.241.208.99
• 185.252.178.121
• 185.81.157.135
• 185.81.157.14
• 185.81.157.168
• 185.81.157.244
• 193.26.115.74
• 194.213.3.25
• 194.55.224.72
• 194.90.9.47
• 198.244.251.230
• 20.169.37.196
• 206.53.55.8
• 207.180.228.131
• 207.32.217.71
• 23.254.130.126
• 23.254.227.121
• 23.254.231.83
• 38.242.242.149
• 45.138.16.213
• 45.154.98.194
• 45.80.158.116
• 45.80.158.183
• 51.161.104.149
• 51.161.59.75
• 51.81.126.13
• 51.81.24.93
• 51.89.204.67
• 51.89.207.166
• 66.94.109.58
• 79.110.49.65
• 82.159.198.174
• 85.206.172.156
• 85.215.190.69
• 86.48.18.223
• 89.163.213.166
• 91.109.180.3
• 92.204.146.31
• 95.216.192.137

IPv4 Port Combinations

• 194.26.192.174:2005
• 194.26.192.174:222
• 45.80.158.65:2005
• 45.80.158.65:222
• 51.81.105.238:1981
• 51.81.94.115:888

Domain Port Combinations

• Mtest.loseyourip.com:2005
• mtest.loseyourip.com:7777
• ridaq1.is-a-caterer.com:2005
• Ridaq1.is-a-caterer.com:222
• ridaq2.is-a-caterer.com:2005
• superfaster1.is-found.org:1981
• superfaster22.selfip.info:1981
• superhay.is-a-geek.com:1981
• superslow.is-a-nascarfan.com:1981
• Superziad.is-a-liberal.com:1981

SHA256

• 03c251bf0b92ec89e90cb1b5580addca0aab855f0228e2b8f1f35f62c0301b54
• 299f0398101ee22c22aad147a937413e8ba9d34dc20fa8b7d6a0a028acdaa7cd
• 2ba416e9d1ba8a3c9564361b8dfce8ee27d9806fe6dd964b04966ca70b106b8a
• 32e64c399945d082cd3f1c0cc4cf90b9fa24ecf6d2d2cd5a7eb9bed26909a939
• 36d5c298a2d46ce0fe77d649887b7694cfe494e3cd5eda9001ef66f5368911cd
• 4f38e427a90f89915b810c5cb6dfdbab9bf2557b82365f07b1e21ed4334eea9c
• 55df3917ad56d204f96fd28eef9f0803169383497fd543a6e5c4dabbfa897d52
• 6f105d359fe32edd24c3e5a441f3f8d3f4be7fad856ce7b0e606e9e18b742024
• 827a0a7d03af0b7d0a8f5c37303f2f8f1de097aceba0504a4585f6ce8d36cc2a
• 87627c523ae822fc89cb0747c0f2f60ee35ffe3f30d3084b176bfc5ad04a9fcf
• 948f44ed380e2e48c57d60cefbf6001326a0d72373f5051dbf0395e85cc504f1
• 9c77c4295a6bbe390fafb801d38e21615a684dd62cbbe276076c1a1c71dedcbe
• 9e6a95f8e6bc676b583c26020c8dea0d12c46b0d4441dfb306be24806c7ea00c
• bf9a63ca13fa0d00609cb9ff3aa5845441ec527b316787eabb69af7437237adc
• f98939d066a7065b750c6813a1ba0557acf80bbf36b54a48b2bd51df82f66a87
• fbb958df412238016c8edab104966bbd4536882146c289ccfdb486bf1054e13c