CERT-UA выявлен факт массового распространения электронных писем, якобы, от имени СБ Украины с вложением в виде RAR-файла "Електронна вимога СБУ України.rar".
Упомянутый архив содержит еще один одноименный архив в котором находится очередной, защищенный паролем RAR-файл "Вимога СБУ 543 від 13.11.2023.pdf.rar".
Последний содержит исполняемый файл "Вимога СБУ 543 від 13.11.2023.pdf.exe" (дата компиляции: 2023-11-12 16:15:36), запуск которого приведет к установке на ЭВМ программы для удаленного управления Remcos RAT (дата компиляции: 2023-09-07 10:23:27).
Персистентность Remcos RAT обеспечивается путем создания записи в ветке Run реестра операционной системы.
Конфигурационный файл содержит 8 IP-адресов серверов управления, функционирующих на технических мощностях компании Shinjiru (Малайзия). Доменные имена зарегистрированы 11.11.2023 REG.RU.
Indicators of Compromise
IPv4
- 111.90.147.133
- 111.90.147.157
- 111.90.147.188
- 111.90.147.190
- 111.90.147.21
- 111.90.147.216
- 111.90.147.78
- 111.90.147.98
- 195.133.199.230
- 45.10.245.245
IPv4 Port Combinations
- 111.90.147.133:465
- 111.90.147.133:4899
- 111.90.147.133:80
- 111.90.147.133:8080
- 111.90.147.133:81
- 111.90.147.157:80
- 111.90.147.188:80
- 111.90.147.190:8080
- 111.90.147.21:80
- 111.90.147.216:8080
- 111.90.147.78:80
- 111.90.147.98:80
Domains
- davincigroup.online
- groupdavinci.online
Emails
MD5
- 24a6ddba4e8a55e330a1224f5c46080d
- 769f464fa505add7a477ad95407afec3
- 78850bbef776551ca830317fb244b086
- 7e16efc0ae8da69273621889fadeefd8
- e8a348fd628fc485fa30cca106958f78
- ecf55f471a5fda7ffc89b4018f2f5edc
SHA256
- 06cc87d4ccfa98fb2815c39fdf6faf03d781469b281e5567fd790b680861c8b2
- 2ce640749819e27d457827eede4d14abbf65981cd716ef25d9489b7eeba314d2
- 4bd8ec1e82fdea9d8d24f1e7a133d409aa941e13fcc7b6ce1889bed3b7a0afbc
- 6a6f71cf5cfeb8698987aa3e826b19ef05be3f0112c46d79b366feb914340335
- a470c7e184f7277f00a4c6e523f57e0786c1c0c73688f7a0ab8e9e10fdb00742
- a4d5382438138f679073396bca73dc4f6bc39420966944f4fea8a9ab4087d004
