AhnLab Security (ASEC) поделился информацией об угрожающей группе RedEyes (также известной как APT37, ScarCruft), которая в прошлом месяце распространила вредоносное ПО CHM, замаскированное под защитное электронное письмо от корейской финансовой компании.
RokRAT постоянно распространяется с момента своего появления, он также выполняет обычный файл, что затрудняет обнаружение инфекции пользователями.
Содержание
RokRAT IOCs
Indicators of Compromise
URLs
- https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBaFhFWExKU05NUFRiZnpnVU14TmJJbkM2Q0k_ZT1WZElLSjE/root/content
- https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBdTJteTF4aDZ0OFhnUjJNem1zOG5oUndvLTZCP2U9akhIQzZ5/root/content
MD5
- 0f5eeb23d701a2b342fc15aa90d97ae0
- 461ce7d6c6062d1ae33895d1f44d98fb
- 657fd7317ccde5a0e0c182a626951a9f
- 8fef5eb77e0a9ef2f97591d4d150a363
- aa8ba9a029fa98b868be66b7d46e927b
- be32725e676d49eaa11ff51c61f18907
