Главная страница » IOC
0
1 год
IOC

Remcos RAT IOCs - Part 17

remote access Trojan

Оказалось, что группа угроз UAC-0050 использует передовую стратегию, которая позволяет использовать более тайный канал передачи данных, эффективно обходя механизмы обнаружения, применяемые системами Endpoint Detection and Response (EDR) и антивирусными системами.


В качестве оружия группировка использует RemcosRAT, печально известное вредоносное ПО для удаленного наблюдения и контроля, которое занимает ведущее место в ее шпионском арсенале. Однако в своей последней операции группа UAC-0050 интегрировала метод "трубы" для межпроцессного взаимодействия, продемонстрировав свою продвинутую адаптивность. Первоначальный вектор атаки еще не определен, но все склоняются к фишингу или спаму. Файл LNK отвечает за загрузку файла HTA. Внутри этого HTA-файла находится VBS-сценарий, который после выполнения запускает сценарий PowerShell. Этот сценарий PowerShell стремится загрузить с сервера вредоносную полезную нагрузку (word_update.exe).

После запуска word_update.exe запускает cmd.exe и передает вредоносные данные по каналу связи. Это приводит к запуску explorer.exe с вредоносным RemcosRAT, находящимся в памяти explorer.exe.

Версия Remcos - 4.9.2 Pro, и он успешно собирает информацию о жертве, включая имя компьютера и имя пользователя. RemcosRAT удаляет файлы cookie и данные для входа в систему из следующих браузеров: Internet Explorer, Firefox и Chrome.

Indicators of Compromise

IPv4

  • 194.87.31.229
  • 46.249.58.40

Domains

  • new-tech-savvy.com

URLs

  • http://new-tech-savvy.com/5.hta
  • http://new-tech-savvy.com/6.hta
  • http://new-tech-savvy.com/algo.hta
  • http://new-tech-savvy.com/ofer.docx
  • http://new-tech-savvy.com/shablon.hta
  • http://new-tech-savvy.com/word_update.exe
  • http://new-tech-savvy.com/zayava.docx

MD5

  • 0b2d0eb5af93a3355244e1319e3de9da
  • 1c3e1e0319dc6aa24166d5e2aaaec675
  • 56154fedaa70a3e58b7262b7c344d30a
  • 5c734bb1e41fab9c7b2dabd06e27bc7b
  • 74865c6c290488bd5552aa905c02666c
  • 7c05cfed156f152139a6b1f0d48b5cc1
  • 7f87d36c989a11edf0de9af392891d89
  • 8158b43f745e0e7a519458b0150e1b61
  • 818beece85ecd90d413782dd51d939b1
  • 8bebea01d914a3c3a2d876417f7d1d54
  • 9b777d69b018701ec5ad19ae3f06553f
  • b1f8484ee01a7730938210ea6e851888
  • f5ee6aa31c950dfe55972e50e02201d3
  • f71ef85824f906856cb3d2205058bdd2
Комментарии: 0
Похожие записи
0
2 дня
IOC

NEPTUNE RAT: продвинутая Windows RAT с возможностью разрушения системы и извлечения паролей из 270+ приложений

remote access Trojan
Neptune RAT использует передовые методы антианализа и персистентные методы для сохранения своего присутствия в системе жертвы в течение длительного времени и оснащен такими опасными функциями, как криптокопилка
0
7 дней
IOC

Злоумышленники используют налоговый сезон для развертывания фишинговых кампаний на налоговую тематику

phishing
В преддверии Дня налогов в США 15 апреля компания Microsoft обнаружила несколько фишинговых кампаний, которые используют налоговую тематику для социальной инженерии с целью кражи учетных данных и внедрения вредоносного ПО.