Remcos RAT и Meduza Stealer IOCs

CERT-UA  07.12.2023 выявлен факт массового распространения электронных писем с темой "судебных претензий" и "задолженности" и приложениями в виде вложенных RAR-архивов, защищенных паролем.

В случае открытия такого архива и запуска исполняемых файлов ЭВМ может быть поражена программами RemcosRAT (идентификатор лицензии: 3DBAF89B8E287E6A5221436A08EAA6B8, идентификатор кампании: "DaVinci") или MeduzaStealer. При этом, в частности, применен Autoit-инжектор.

Типично для UAC-0050 серверы управления RemcosRAT размещены на технической площадке малазийского хостинг-провайдера Shinjiru.

Заметим, что для рассылки электронных писем использованы легитимные скомпрометированные учетные записи, в т.ч. в домене gov.ua. Кроме того, обнаружены электронные письма, свидетельствующие о направлении кибератаки против органов государственной власти Польши.

Indicators of Compromise

IPv4

• 101.99.75.140
• 101.99.75.142
• 101.99.75.145
• 101.99.75.147
• 101.99.75.148
• 101.99.75.156
• 101.99.75.159
• 101.99.75.233
• 101.99.92.100
• 101.99.92.101
• 101.99.92.102
• 101.99.92.103
• 101.99.92.104
• 101.99.92.105
• 101.99.92.106
• 101.99.92.107
• 101.99.92.108
• 101.99.92.110
• 101.99.92.230
• 101.99.92.252
• 79.137.205.201

IPv4 Port Combinations

• 101.99.75.140:8080
• 101.99.75.142:8080
• 101.99.75.145:465
• 101.99.75.145:8080
• 101.99.75.147:465
• 101.99.75.148:8080
• 101.99.75.156:465
• 101.99.75.159:465
• 101.99.75.233:465
• 101.99.75.233:8080
• 101.99.92.100:80
• 101.99.92.100:8080
• 101.99.92.101:80
• 101.99.92.102:80
• 101.99.92.102:8080
• 101.99.92.103:80
• 101.99.92.104:80
• 101.99.92.104:8080
• 101.99.92.105:80
• 101.99.92.106:80
• 101.99.92.107:80
• 101.99.92.108:80
• 101.99.92.108:8080
• 101.99.92.110:8080
• 101.99.92.230:8080
• 101.99.92.252:8080
• 79.137.205.201:15666

Emails

• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]

MD5

• 00736ba8ccd459a131dda33a6563b66d
• 26c885bd7a28236a8f82ce795ed1c21d
• 33f28845863fa59c79b3ac8669722b68
• 502264acd60a5f84bfd6d1dad03f8862
• 573806ca8fe46711550de2e961e09145
• 5ae2b6a47e6fce919b191ecfe2d74b71
• 5e27454611915cbe6a898e0b1223c7e2
• 6ce55c5384d54141bf6cd97787fce9a0
• 848164d084384c49937f99d5b894253e
• e9616499683400fa97dc8e8cb466bdcb
• e9bda9a2099a3517fa87fbc8627d06e3
• f92ba75d9b1576587eac561324236965
• fad0fac025dc107d194710bf4d71fe93

SHA256

• 109a78347a8ef06775ebdab96979377aee6bb5325452754234d90955f0daf4eb
• 3c99a4a03bd7c9b54ef6c2262dad042bb04f3f61f2453d336201c8e086606085
• 4cc6fb5b5f416527296a4b2a84a6da92ce97dcca7db03f9e1c526048443453d2
• 778231490899e006025bfb14f720c8faeacac7c7c1ee7bdd607cd458804a2944
• 7d6133584418f2aeb1ae3147731c78806f93004d62beecaeb3ced5b0d8a4a727
• 8a244379c63cf5ae11f1c79cb7834374f76fd1c6ebed293d0569102d5d6308aa
• ac5401906cefc2ecfda5a84f272c1289f5660c74753c35bfcc84ea49f13f8e41
• ad87af966492f5d7c6b4ccd2a08a5adcb3dd66be1a8b8eff44f57dc3c52b7126
• d20ef93dcd262985040f049c4df26c26b8bfcd4a97afa6cff41f5b4e92baf3fc
• d6028c7ed3324a01614e2697f4cf0d095170eff8f36fae7e6e66aa5412d08b45
• e9c848a14f2cafcf90d912d0af0530bb3075559ba134f39483d55f462941fcb8
• f58d3a4b2f3f7f10815c24586fae91964eeed830369e7e0701b43895b0cefbd3
• fcbc9b3b79c1ff1ca5c5d6c858b90a62be9f6c52093ebc6e6b10d743fee02019