Главная страница » IOC
0
1 год
IOC

Remcos RAT IOCs - Part 16

remote access Trojan

CERT-UA 21.12.2023 зафиксировано массовое распространение электронных писем с тематикой "Заборгованості за договором Київстар" и вложением в виде архива "Заборгованість абонента.zip".

Указанный ZIP-архив содержит разделенный на 2 части RAR-архив "Заборгованість абонента.rar", в котором находится одноименный архив защищенный паролем. В последнем находится документ с макросом "Заборгованість абонента.doc".

В случае активации код макроса с помощью обозревателя файлов (explorer.exe) с использованием протокола SMB осуществит загрузку на ЭВМ и запуск файла "GB.exe". В свою очередь указанный файл является SFX-архивом, содержащим BATCH-скрипт для загрузки с сервиса bitbucket и запуска исполняемого файла "wsuscr.exe", обфускованного с помощью SmartAssembly .NET, назначением которого является дешифровка и запуск программы для удаленного управления RemcosRAT (идентификатор лицензии: 5639D40461DCDD07011A2B87AD3C9EDD).

Кроме того, зафиксировано распространение писем с темой "Запит СБУ" и вложением в виде архива "Документи.zip", содержащего защищенный паролем и разделенный на 3 части RAR-архив "Запит.rar". В последнем находится исполняемый файл "Запрос.exe". В случае открытия такого архива и запуска исполняемых файлов ЭВМ может быть поражена программой RemcosRAT (идентификатор лицензии: 5639D40461DCDD07011A2B87AD3C9EDD).

Кроме типичного для UAC-0050 размещения серверов управления RemcosRAT на технической площадке малазийского хостинг-провайдера Shinjiru, они также размещены в пределах автономной системы AS44477 (STARK INDUSTRIES SOLUTIONS LTD).

Indicators of Compromise

IPv4

  • 101.99.75.14
  • 101.99.75.145
  • 101.99.75.147
  • 101.99.75.16
  • 45.87.154.153
  • 45.87.155.41
  • 81.19.149.130
  • 89.23.98.22
  • 94.131.102.115
  • 94.131.102.117
  • 94.131.102.119
  • 94.131.102.122
  • 94.131.102.124
  • 95.164.35.143
  • 95.164.35.174
  • 95.164.35.234

IPv4 Port Combinations

  • 101.99.75.14:8081
  • 101.99.75.145:465
  • 101.99.75.145:80
  • 101.99.75.145:8081
  • 101.99.75.147:8081
  • 101.99.75.16:465
  • 101.99.75.16:54550
  • 101.99.75.16:80
  • 101.99.75.16:8080
  • 101.99.75.16:8081
  • 45.87.154.153:80
  • 45.87.154.153:8080
  • 45.87.155.41:465
  • 45.87.155.41:54550
  • 45.87.155.41:80
  • 45.87.155.41:8080
  • 45.87.155.41:8081
  • 94.131.102.115:54550
  • 94.131.102.115:80
  • 94.131.102.117:80
  • 94.131.102.119:80
  • 94.131.102.122:80
  • 94.131.102.124:80
  • 95.164.35.143:8081
  • 95.164.35.174:54550
  • 95.164.35.174:8081
  • 95.164.35.234:8081

URLs

  • https://bitbucket.org/olegovich-007/777/downloads/wsuscr.exe

MD5

  • 0bff5c030f8c781c604fb589c6bfc5a6
  • 0e38564d3cff4859e4418ff3b1c57506
  • 1ac510cf6c0d34f5148e3136494a2366
  • 1d1d06ebd13ed9a3ea9254962a4c189f
  • 324afa8304dc6a079e8f9a2f2ea9654f
  • 4754f0ede14f1bae26b69bd43c7b6705
  • 490a5462fc6e4f477811ee08a00c7c85
  • 4febae6a56361fa83265fa07f50a1880
  • 53b204f96e93b70a528b88bedfd6b794
  • 57ea2a297e1881d1015634c3e9b7c66d
  • 6041845b2fe9dfb4b06fed8ec8a05295
  • 628ef6dc40f8b6e89b6d537463add174
  • 62f588d655331f053795087b657743fe
  • 6b171b657293c8b9f0afcb8ab9104e95
  • 6c704bae1033920b576dacbcff6bfef5
  • 75bc7617d832a378a533d896223587bc
  • 7e6953ba07200cd9c9b0f8ad2c6a84ff
  • 848164d084384c49937f99d5b894253e
  • aae9e3b0ccd99846c3c5606a3164b3bf
  • c3e7cfa2e076c3ca421ddc00496c71b5
  • ce460418bab48b1e78b3bf611aa34f99
  • d4f5c321818c7876c6fffffe3e1fc30e
  • d68eb8e578077fd9fc752d57bf73bd5e
  • de2e053acae98adbecc23ab3c0e9cf5d
  • e0f074f4d3dcd3b2b59c0c162d83ff57
  • f677caecda3825f2553c0e0dcdf3c1b8
  • fb9ce204ff2b2f8014a547a2de568327
  • fc196e76dee54125e5fc15018d764fcf
  • fc99e0883a1fa153693547953a83674e

SHA256

  • 096a62c27bc5a7c860f72927a5435c8a874044d2412be549817a8f7d13ba93cd
  • 0d43898207e1c83da0844e5511a58ea051f4672f0c96a77a8437b326ce9b4547
  • 1173c9fc2e4fd5eba9ca7492902f860d6b5aac65f1c5d1415aa2cb86f260b94a
  • 1279c4f75e61a2213f9bcb7a14922f9c282d7a647fd4b058ad27c84d7a0f315d
  • 52a25828f2df09476ac25ab2fd12a9b7b47be2a2ef42f58641a4dd1e0dab2aaa
  • 6619b7126840529091b2da2fa1b7238d6b10bc17bbfc8327aad3683ae686b81d
  • 76f1c40c7ff5dda070703cc4f07a5f5d3489fcfa65884ad91fb33a74303ebd43
  • 7a100ddd648c57fd4cf4ef12692380deff557c6630a7c9b2d740f69d5c1941a3
  • 7c3476fd586bcb7f42e706f32999356fb4b2c8341f00b8297cf74131f6fa611c
  • 804d8d8bd82d089969449cb17329528f0d72a552f5cb61304b57aab31ee2b065
  • 823a799018d1ab0c2eb4c2b26d3f2eb0342fbc30eac34379903398c97d350827
  • 8272c8939a325be870bcde372842b808a015d2b892e239e16a6211a5c0b4c789
  • 8b48c11a538af362b766d8ccb09ef11ad6ee62bb430424c9f78d8e7cd5785b7a
  • 8e0967dbee0583704b4b9718521b04e53edc84ddc61456e6d9e38c5522c9cb46
  • 9277d96732034e91501a8ef9be26a05c63db0be38b50e1d11d4ee3a38929ec2e
  • 93aa6fc207df430a6e9833259e618895bcdb75c7db0850599d3dbb87d47a54c7
  • 9666d03d9770f87436114fc726790b53b8b625bb9cf36902d040afcef6080dce
  • 9f63016c2b9c83da3dca2173ca5f443d7e0e5289983c441fe064766f2da3a2ba
  • a18876e286ea71d6d0098f6daa61a456fe1a2c176ab025668bbe5d64feafb829
  • a32fb5538d5f64de8b015e9e2637b8b3af6295b1abd83ba5e75cf888c0fbd379
  • a8fea4b83677e23d30c9db965755a426190d0fbf748a9877c9a4ebd7da2bdd68
  • be878c37bfab2d6ea7b460d74312523317e3377927222f87aa3ce92f6ebc5bcd
  • ca9093b05cf9e02e06f58c9819042b36b29b8461b4e8f6280bb74a76dcf3e449
  • d28975157f2af26766fcbdab8ca5a68bd5bbf1331cef1107424d0400b400ed50
  • d59b1ace28e0b35a0bd54fa0ca95f92082b17fa4109fb3f3d0be33ca60834660
  • d698994e527111a6ddd590e09ddf08322d54b82302e881f5f27e3f5d5368829c
  • d78a77857dcfddf9f7af0b7c0fccb181b12b69587e1e60a3d96be1b8a7ce3b52
  • eeed029e8b392301e8f4d17492f2de3640925bfe785a0bf784141c384808a1fb
  • f58d3a4b2f3f7f10815c24586fae91964eeed830369e7e0701b43895b0cefbd3
Комментарии: 0
Похожие записи
0
2 дня
IOC

NEPTUNE RAT: продвинутая Windows RAT с возможностью разрушения системы и извлечения паролей из 270+ приложений

remote access Trojan
Neptune RAT использует передовые методы антианализа и персистентные методы для сохранения своего присутствия в системе жертвы в течение длительного времени и оснащен такими опасными функциями, как криптокопилка
0
3 дня
IOC

Целевая шпионская активность UAC-0226 в отношении центров инноваций, государственных и правоохранительных органов с использованием стилера GIFTEDCROOK

Spyware
CERT-UA, начиная с февраля 2025 года, отслеживается целевая активность, которая осуществляется с целью шпионажа в отношении центров развития инноваций в военной сфере, военных формирований, правоохранительных
0
4 дня
IOC

Кибершпионаж с использованием PowerShell-стилера WRECKSTEEL

Spyware
Национальный агентство по реагированию на компьютерные чрезвычайные события в Украине (CERT-UA) принимает меры по сбору и анализу данных о кибератаках с целью предоставления информации о киберугрозах.