Главная страница » IOC
0
6 месяцев
IOC

RomCom APT IOCs - Part 2

security

Исследователи Cisco Talos обнаружили сложную кампанию группы UAT-5647 (также известный как DEV-0978, RomCom и Underground Team), направленную на украинские государственные структуры и польские организации. Группа представила обновленный арсенал вредоносного ПО, включающий вариант RomCom SingleCamper, загрузчики RustClaw и MeltingClaw, а также бэкдоры под названиями DustyHammock и ShadyHammock.

RomCom APT IOCs

Злоумышленники начинают свою кампанию с рассылки фишинговых сообщений, чтобы доставить загрузчики: либо RustyClaw, загрузчик на базе RUST, либо MeltingClaw, вариант на базе C++. Эти загрузчики затем обеспечивают устойчивость бэкдоров, нацеленных на шпионаж и потенциально переходящих в выкупное ПО для получения финансовой выгоды. Злоумышленники компрометируют пограничные устройства и туннелируют внутренние интерфейсы к внешним хостам, что облегчает уклонение. Они проводят разведку сети, обнаруживают системы и пользователей, а также подготавливают целые диски для эксфильтрации.

RustyClaw проверяет раскладку клавиатуры на наличие определенных языковых кодов и загружает имплантат следующего этапа - DustyHammock, который представляет собой RUST-бэкдор с возможностью выполнения команд и загрузки файлов. ShadyHammock, бэкдор на языке C++, загружает и запускает полезную нагрузку из реестра и прослушивает входящие команды. SingleCamper, активируемый ShadyHammock, отправляет системную информацию на C2, выполняет разведывательные команды и может получать командные коды для дальнейших действий.

На основе данных, полученных от C2, злоумышленники определяют, является ли взломанная система достаточно ценной для дальнейшего исследования и действий после компрометации.

Indicators of Compromise

IPv4

  • 192.227.190.127
  • 193.42.36.131
  • 193.42.36.132
  • 213.139.205.23
  • 23.137.253.43
  • 23.94.207.116
  • 91.92.242.87
  • 91.92.248.75
  • 91.92.254.218
  • 94.156.68.216

Domains

  • adbefnts.dev
  • adcreative.pictures
  • apisolving.com
  • copdaemi.top
  • creativeadb.com
  • devhubs.dev
  • dnsresolver.online
  • pos-st.top
  • rdcservice.org
  • store-images.org
  • webtimeapi.com
  • wirelesszone.top

URLs

  • http://adcreative.pictures:443/kjLY1Ul8IMO
  • http://apisolving.com:443/DKgitTDJfiP
  • http://creativeadb.com:443/n9JTcP62OvC
  • http://wirelesszone.top:433/OfjdDebdjas

SHA256

  • 01ebc558aa7028723bebd8301fd110d01cbd66d9a8b04685afd4f04f76e7b80c
  • 0a02901d364dc9d70b8fcdc8a2ec120b14f3c393186f99e2e4c5317db1edc889
  • 10e1d453d4f9ca05ff6af3dcd7766a17ca1470ee89ba90feee5d52f8d2b18a4c
  • 12bf973b503296da400fd6f9e3a4c688f14d56ce82ffcfa9edddd7e4b6b93ba9
  • 1fa96e7f3c26743295a6af7917837c98c1d6ac0da30a804fed820daace6f90b0
  • 2474a6c6b3df3f1ac4eadcb8b2c70db289c066ec4b284ac632354e9dbe488e4d
  • 260a6644ab63f392d090853ccd7c4d927aba3845ced473e13741152cdf274bbd
  • 2e338a447b4ceaa00b99d742194d174243ca82830a03149028f9713d71fe9aab
  • 43a15c4ee10787997682b79a54ac49a90d26a126f5eeeb8569022850a2b96057
  • 45adf6f32f9b3c398ee27f02427a55bb3df74687e378edcb7e23caf6a6f7bf2a
  • 54ce280ec0f086d89ee338029f12cef8e1297ee740af76dda245a08cb91bab4d
  • 585ed48d4c0289ce66db669393889482ec29236dc3d04827604cf778c79fda36
  • 62f59766e62c7bd519621ba74f4d0ad122cca82179d022596b38bd76c7a430c4
  • 7602e2c1ae27e1b36ee4aed357e505f14496f63db29fb4fcdd0d8a9db067a5c4
  • 78eaaf3d831df27a5bc4377536e73606cd84a89ea2da725f5d381536d5d920d8
  • 7c9775b0f44419207b02e531c357fe02f5856c17dbd88b3f32ec748047014df8
  • 8104fdf9ff6be096b7e5011e362400ee8dd89d829c608be21eb1de959404b4b9
  • 88a4b39fb0466ef9af2dcd49139eaff18309b32231a762b57ff9f778cc3d2dd7
  • 9062d0f5f788bec4b487faf5f9b4bb450557e178ba114324ef7056a22b3fbe8b
  • 951b89f25f7d8be0619b1dfdcc63939b0792b63fa34ebfa9010f0055d009a2d3
  • 9f635fa106dbe7181b4162266379703b3fdf53408e5b8faa6aeee08f1965d3a2
  • 9fd5dee828c69e190e46763b818b1a14f147d1469dc577a99b759403a9dadf04
  • a265ae8fed205efb5bcc2fb59e60f743f45b7ad402cb827bc98dee397069830c
  • aa09e9dca4994404a5f654be2a051c46f8799b0e987bcefef2b52412ac402105
  • ac9e3bf1cc87bc86318b258498572793d9fb082417e3f2ff17050cf6ec1d0bb5
  • b1fe8fbbb0b6de0f1dcd4146d674a71c511488a9eb4538689294bd782df040df
  • b55f70467f13fbad6dde354d8653d1d6180788569496a50b06f2ece1f57a5e91
  • b9677c50b20a1ed951962edcb593cce5f1ed9c742bc7bff827a6fc420202b045
  • bd25618f382fc032016e8c9bc61f0bc24993a06baf925d987dcec4881108ea2a
  • bf5f2bdc3d2acbfb218192710c8d27133bf51c1da1a778244617d3ba9c20e6f7
  • ce8b46370fd72d7684ad6ade16f868ac19f03b85e35317025511d6eeee288c64
  • dee849e0170184d3773077a9e7ce63d2b767bb19e85441d9c55ee44d6f129df9
  • f3fe04a7e8da68dc05acb7164b402ffc6675a478972cf624de84b3e2e4945b93
  • fdbc6648c6f922ffcd2b351791099e893e183680fc86f48bf18815d8ae98a4f7
Комментарии: 0
Похожие записи
0
1 день
IOC

Кампания CrazyHunter нацелена на критически важные секторы экономики Тайваня

security
Группа вымогателей CrazyHunter стала серьезной угрозой для организаций в Тайване, особенно в сферах здравоохранения, образования и промышленности. Они используют сложные техники, такие как метод "принеси