Главная страница » IOC
0
5 месяцев
IOC

RomCom APT IOCs - Part 3

security

Исследователи ESET раскрыли сложную кибератаку, организованную связанной с группой RomCom, также известной как Storm-0978. RomCom атаковала различные отрасли, включая государственные структуры в Украине и Европе, а также такие отрасли, как фармацевтика, юриспруденция, страхование и оборона, в основном в США и Германии.

RomCom APT

Атака использовала две ранее неизвестные уязвимости: CVE-2024-9680, критическую ошибку use-after-free в таких продуктах Mozilla, как Firefox, Thunderbird и Tor Browser, и CVE-2024-49039, ошибку повышения привилегий в планировщике задач Windows. Первая ошибка позволяла выполнять код в ограниченном контексте браузера, а вторая - выходить из «песочницы» Firefox и запускать код на среднем уровне целостности. Mozilla и Microsoft уже исправили эти уязвимости, а компания ESET представила подробную хронологию процесса обнаружения, отчетности и исправления.

Цепочка атак начиналась с поддельного веб-сайта, перенаправляющего жертву на сервер, где размещался эксплойт, который затем загружал и выполнял бэкдор RomCom без участия пользователя. Эксплойт запускался, когда жертва, использующая уязвимый браузер, посещала веб-страницу, содержащую эксплойт, что приводило к выполнению шеллкода и установке бэкдора. Сложные методы RomCom включали в себя распыление кучи и манипуляции с ней для запуска уязвимости use-after-free, а также использование недокументированной конечной точки RPC для создания и выполнения запланированной задачи, которая загружала второй этап с C&C-сервера.

Indicators of Compromise

IPv4

  • 147.45.78.102
  • 176.124.206.88
  • 178.236.246.241
  • 194.87.189.171
  • 194.87.189.19
  • 45.138.74.238
  • 46.226.163.67
  • 62.60.237.116
  • 62.60.237.38
  • 62.60.238.81

Domains

  • 1drv.us.com
  • correctiv.sbs
  • cwise.store
  • devolredir.com
  • economistjournal.cloud
  • journalctd.live
  • redirconnectwise.cloud
  • redircorrectiv.com
  • redjournal.cloud

SHA1

  • 21918cfd17b378eb4152910f1246d2446f9b5b11
  • 703a25f053e356eb6ece4d16a048344c55dc89fd
  • a4aad0e2ac1ee0c8dd25968fa4631805689757b6
  • a9d445b77f6f4e90c29e385264d4b1b95947add5
  • abb54c4751f97a9fc1c9598fed1ec9fb9e6b1db6
  • ca6f8966a3b2640f49b19434ba8c21832e77a031

SHA256

  • 49023b86fde4430faf22b9c39e921541e20224c47fa46ff473f880d5ae5bc1f1
  • 5852c3880948202b2262d6d4c7a4dc87f23b7426e259e5b9ffb94f3d742cbe09
  • 5a266c031b082b9172438a50b6e019d1d90ebb3ddc662d8919baf8bb5a40c36a
  • 7479339b2c08a8cdf67889ac4e190c9f400a0402af6e2e26515fe47eada8bfe0
  • 796833d9e8291755b721c77f19dcdcb98cebc09aa235e67334978546f98a3049
  • ee407bf0af8440402fa06e72af5941451ef0fcba4b36cd7ecec593df99177458
Комментарии: 0
Похожие записи
0
1 день
IOC

Кампания CrazyHunter нацелена на критически важные секторы экономики Тайваня

security
Группа вымогателей CrazyHunter стала серьезной угрозой для организаций в Тайване, особенно в сферах здравоохранения, образования и промышленности. Они используют сложные техники, такие как метод "принеси
0
3 дня
IOC

Slow Pisces нацелился на разработчиков с проблемами кодирования и представил новое специализированное вредоносное ПО на Python

security
Slow Pisces - это северокорейская киберпреступная группа, спонсируемая государством КНДР. Они в основном занимаются кражей криптовалюты, нападая на крупные организации в криптовалютном секторе.