Главная страница » IOC
0
1 год
IOC

Remcos RAT IOCs - Part 15

remote access Trojan

CERT-UA 30.11.2023 зафиксировано массовое распространение электронных писем с тематикой "Повістки до суду" и вложением в виде файла "Господарський суд Одеської області Повістка до суду.rar".

Указанный RAR-архив содержит защищенный паролем файл "Повістка до суду.rar", в котором находится документ с макросом "Повістка до суду.doc".

В случае активации код макроса с помощью обозревателя файлов (explorer.exe) с использованием протокола SMB осуществит загрузку на ЭВМ и запуск файла "scandoc.exe". В свою очередь указанный исполняемый файл является обфускованной с помощью SmartAssembly .NET-программой, назначением которой является дешифровка и запуск программы для удаленного управления RemcosRAT (идентификатор лицензии: A254379BF33E9109EA234A12DD74E7AB).

Рассылка электронных писем осуществлена более чем 15000 адресатов с использованием легитимных скомпрометированных учетных записей одного из органов судебной власти Украины.

Indicators of Compromise

IPv4

  • 101.99.92.101
  • 101.99.92.102
  • 101.99.92.103
  • 101.99.92.19
  • 101.99.92.212
  • 101.99.92.218
  • 185.65.105.15
  • 185.65.105.190
  • 185.65.105.191
  • 185.65.105.192
  • 185.65.105.193
  • 185.65.105.194
  • 185.65.105.195
  • 185.65.105.196
  • 185.65.105.197
  • 185.65.105.198
  • 185.65.105.199
  • 89.23.98.22
  • 95.214.26.18
  • 95.214.26.190
  • 95.214.26.199
  • 95.214.26.25
  • 95.214.26.60
  • 95.214.26.79
  • 95.214.26.90
  • 95.214.26.99

IPv4 Port Combinations

  • 101.99.92.101:465
  • 101.99.92.102:465
  • 101.99.92.102:80
  • 101.99.92.102:8080
  • 101.99.92.103:465
  • 101.99.92.19:465
  • 101.99.92.19:80
  • 101.99.92.19:8080
  • 101.99.92.212:8080
  • 101.99.92.218:80
  • 101.99.92.218:8080
  • 185.65.105.15:465
  • 185.65.105.190:80
  • 185.65.105.191:80
  • 185.65.105.192:80
  • 185.65.105.193:80
  • 185.65.105.193:8080
  • 185.65.105.194:8080
  • 185.65.105.195:8080
  • 185.65.105.196:80
  • 185.65.105.196:8080
  • 185.65.105.197:465
  • 185.65.105.197:80
  • 185.65.105.198:465
  • 185.65.105.199:465
  • 95.214.26.18:80
  • 95.214.26.190:80
  • 95.214.26.199:21
  • 95.214.26.199:465
  • 95.214.26.199:80
  • 95.214.26.199:8080
  • 95.214.26.25:80
  • 95.214.26.60:80
  • 95.214.26.79:80
  • 95.214.26.90:80
  • 95.214.26.99:80

SMB

  • \\89.23.98.22\LN\scandoc.exe

MD5

  • 3f38596cc3a4d9d6020d3cebff1a8f6c
  • 4cd0efe60c932a3ff25a976386cf9bc9
  • 83510e8c9ebe7d888e16d618d6c41091
  • a823e3eb525f857c7c3faeb9d45364c6
  • b05ec5055cad9a187f6df892e956296d
  • cfcf6395c7cf7c879c8a697a6e2cd4fa

SHA256

  • 26b4ccad487e76f40a5806c638589d3b2fb29bd799accc1cfaa6739e7ec437df
  • 3b627d22c9f436c0fe5a614a24bd9a5ad64632f3a9a02bd01bbfceb459e6a2a6
  • a7aca87179f51e229aa9a2f13bb8ab76750c8092579cc7b4d0cbc40235cdde27
  • aa6de205e6d84c8333fd503c06fc27f55d67d04221a87481793b41070d76268f
  • c720fbc9f6386492d6c086297d9d547b1de51ae2c4c03f935ed98c6945e1ced9
  • ff0a84220d028052a841312cd81baa525d19f7e4b0ce94dbbaf6634a776d3814
Комментарии: 0
Похожие записи
0
2 дня
IOC

NEPTUNE RAT: продвинутая Windows RAT с возможностью разрушения системы и извлечения паролей из 270+ приложений

remote access Trojan
Neptune RAT использует передовые методы антианализа и персистентные методы для сохранения своего присутствия в системе жертвы в течение длительного времени и оснащен такими опасными функциями, как криптокопилка
0
3 дня
IOC

Целевая шпионская активность UAC-0226 в отношении центров инноваций, государственных и правоохранительных органов с использованием стилера GIFTEDCROOK

Spyware
CERT-UA, начиная с февраля 2025 года, отслеживается целевая активность, которая осуществляется с целью шпионажа в отношении центров развития инноваций в военной сфере, военных формирований, правоохранительных
0
4 дня
IOC

Кибершпионаж с использованием PowerShell-стилера WRECKSTEEL

Spyware
Национальный агентство по реагированию на компьютерные чрезвычайные события в Украине (CERT-UA) принимает меры по сбору и анализу данных о кибератаках с целью предоставления информации о киберугрозах.