4 июля команда BlackBerry Threat Research and Intelligence обнаружила два вредоносных документа, присланных с IP-адреса в Венгрии и предназначенных для организации, поддерживающей Украину за рубежом, а также документ, направленный на гостей предстоящего саммита НАТО, которые также могут оказывать поддержку Украине.
Проведенный анализ тактики, техники и процедур (ТТП), схожести кода и сетевой инфраструктуры угроз позволяет сделать вывод о том, что за этой операцией, скорее всего, стоит угрожающий агент, известный как RomCom.
Основываясь на данных внутренней телеметрии, анализе сетевых данных и полном наборе собранного кибероружия, BlackBerry полагают, что угрожающий субъект, стоящий за этой кампанией, провел первые учения 22 июня, а также за несколько дней до того, как был зарегистрирован и запущен командно-контрольный цент (C2).
RomCom IOCs
- RomCom Backdoor IOCs
- RomCom RAT IOCs
- RomCom RAT IOCs - Part 2
- RomCom RAT IOCs - Part 3
- RomCom Backdoor IOCs - Part 2
Indicators of Compromise
IPv4
- 104.234.239.26
- 138.124.183.8
- 209.127.116.190
- 209.159.147.170
- 45.9.148.118
- 45.9.148.123
- 45.9.148.219
- 65.21.27.250
- 66.23.226.102
- 74.50.94.156
IPv4 Port Combinations
- 104.234.239.26:445
- 138.124.183.8:443
- 209.127.116.190:3389
- 209.159.147.170:3389
- 45.9.148.118:443
- 45.9.148.123:443
- 45.9.148.219:22
- 65.21.27.250:22
- 66.23.226.102:443
- 74.50.94.156:3389
Domains
- altimata.org
- bentaxworld.com
- finformservice.com
- penofach.com
- ukrainianworldcongress.info
MD5
- f4959e947cee62a3fa34d9c191dd9351
SHA256
- 07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d
- 1a7bb878c826fe0ca9a0677ed072ee9a57a228a09ee02b3c5bd00f54f354930f
- 3a3138c5add59d2172ad33bc6761f2f82ba344f3d03a2269c623f22c1a35df97
- a61b2eafcf39715031357df6b01e85e0d1ea2e8ee1dfec241b114e18f7a1163f
- e7cfeb023c3160a7366f209a16a6f6ea5a0bc9a3ddc16c6cba758114dfe6b539