Главная страница » IOC
0
6 часов
IOC

Российские организации под прицелом: фишинговые письма с вредоносным ПО DarkWatchman RAT

security

Компания Solar 4RAYS, центр исследования киберугроз, выявила новую волну фишинговых атак в России с использованием вредоносной программы DarkWatchman RAT. Атаки, начавшиеся в середине февраля, продолжаются в течение марта.

Описание

DarkWatchman RAT - это троян удаленного доступа на основе JavaScript, предназначенный для проникновения в системы и сбора конфиденциальной информации. Основная функция этого трояна - кейлоггер, бесшумно записывающий нажатия клавиш для получения паролей и других ценных данных. Кроме того, вредоносная программа обладает функциями бэкдора, позволяющими атакующим брать под контроль зараженные системы и выполнять команды.

Это не первый случай использования DarkWatchman RAT в фишинговых кампаниях. Случаи использования этого вредоносного ПО были зафиксированы в 2021 году, и до сих пор встречаются единично. Последняя волна атак приняла форму массовых фишинговых писем, рассылаемых различным российским организациям. Письма маскируются под официальные уведомления от Межрайонного отдела судебных приставов по ИПНО г. Москвы и содержат архив, который выглядит как исполнительный лист. Однако при открытии архива устанавливается вредоносный исполняемый файл, приводящий к развертыванию DarkWatchman RAT.

Исполняемый файл, найденный в этих фишинговых письмах, представляет собой 32-битную программу, написанную на языке C/C++ и имеющую недействительную цифровую подпись. Названный Native Loader, этот файл действует как загрузчик, который расшифровывает и исполняет закодированное содержимое в оперативной памяти. Файл маскируется под PDF-документ, чтобы обмануть пользователей. Затем Native Loader декодирует загрузчик .NET, который загружает полезную нагрузку в память. Следующим этапом вредоносной программы является .NET Dropper, который извлекается .NET Loader. Этот дроппер представляет собой обфусцированный исполняемый файл, защищенный .NET Reactor.

Дроппер .NET выполняет различные операции, включая декодирование загрузок и сохранение их в файлы, запуск команды wscript.exe с определенными параметрами, создание библиотеки DLL и реализацию сценария PowerShell, выполняющего роль кейлоггера. Наконец, дроппер запускает DarkWatchman RAT и взаимодействует с управляющими серверами. Для своих операций вредоносная программа использует закодированные массивы чисел.

Индикаторы компрометации

Содержание
  1. Domains
  2. URLs
  3. Emails
  4. MD5
  5. SHA1
  6. SHA256

Domains

  • fssp.website

URLs

  • https://05f9bc37.fun
  • https://05f9bc37.online
  • https://05f9bc37.shop
  • https://05f9bc37.site
  • https://05f9bc37.space
  • https://3365815f.fun
  • https://3365815f.online
  • https://3365815f.shop
  • https://3365815f.site
  • https://3365815f.space
  • https://4ad74aab.fun
  • https://4ad74aab.online
  • https://4ad74aab.shop
  • https://4ad74aab.site
  • https://4ad74aab.space
  • https://4ad74aab.store
  • https://560eec58.fun
  • https://560eec58.online
  • https://560eec58.shop
  • https://560eec58.site
  • https://560eec58.space
  • https://682ad9af.fun
  • https://682ad9af.online
  • https://682ad9af.shop
  • https://682ad9af.site
  • https://682ad9af.space
  • https://73c9efbb.fun
  • https://73c9efbb.online
  • https://73c9efbb.shop
  • https://73c9efbb.site
  • https://73c9efbb.space
  • https://985eae2a.fun
  • https://985eae2a.online
  • https://985eae2a.shop
  • https://985eae2a.site
  • https://985eae2a.space
  • https://b697a8b2.fun
  • https://b697a8b2.online
  • https://b697a8b2.shop
  • https://b697a8b2.site
  • https://b697a8b2.space
  • https://bc0324ae.fun
  • https://bc0324ae.online
  • https://bc0324ae.site
  • https://bc0324ae.space
  • https://bc0324ae.store
  • https://efb39ac1.fun
  • https://efb39ac1.online
  • https://efb39ac1.shop
  • https://efb39ac1.site
  • https://efb39ac1.space
  • https://f5c5f942.fun
  • https://f5c5f942.online
  • https://f5c5f942.shop
  • https://f5c5f942.site
  • https://f5c5f942.space
  • https://fb0bf2b1.fun
  • https://fb0bf2b1.online
  • https://fb0bf2b1.shop
  • https://fb0bf2b1.site
  • https://fb0bf2b1.space

Emails

MD5

  • 140c148ef7e476e3d3b2772292a4eb9a
  • 25ac857c6c978af2d7e1256ae7c5d8a3
  • 31bee9b93e6c7527ba03f80d0716cddd
  • 361e748f9cdef7a1aeea083ace075a64
  • 4748f83818b0d0c41fe593c38dc2979d
  • 4a7b520eb180a50d4712966de8ca9fde
  • 5c0f7b01d27c70902781541bfc4e7c6e
  • 5eb5312a5918660df81830b71243726b
  • 6b125046464652b48e49964416b6813a
  • 76040a1ca73559914deb767ce700af7a
  • 84904e08cba761c332a3d66e736cc3dd
  • 9278bc396093243ae052b66ec2c812ba
  • 94b584c71ac40e55f109dffcb9526f22
  • 94de91db58d5271f3c4458b2ef0183a8
  • a1d2980c4e98c6f57de07163b8fde797
  • b51d8d8408bf9ef0008ba7a27f6f7825
  • b547d3335c8062993b3a84fd52e38a5b
  • b646f1395e267ae7c00a300abf8f2a1e
  • b7a742715078cc7306d9948e2f3aa993
  • d497eff1503199df429f69ac18d9b593
  • e017082a11a467b14b5d53353658290c
  • e4be68f10f29741f30cb5d4e4ec38392
  • e5f6a7ba7df2e2fc40c1a8fde98ccb8a
  • e92504236891ef735190f8cedaf2f900
  • f2e0647ad3c02c943637f448cdb75148

SHA1

  • 02417ba0bd0c8cbb149d8e84e3faf83adae8a703
  • 033c30c79c22c1883beefc01b3e6cc09b7f07894
  • 07a4183f4187926ef3af21b994ba8106a75c5b6a
  • 16cc6adb30fc07d54a58a55a97e669390392d642
  • 324bee95ee1097a421c720272fcd0a07ac5aeaeb
  • 3e539466c57251dcd0808d83ac78b4ca6e5c9f8e
  • 403aeecff4eb02027b59ef11ea843ea5d73db371
  • 4caecddfaf4bdacb9bc3c04b3816d8759c5829ab
  • 55c83e4fffa8d14be080cd7cbe6a3b8bb77851c7
  • 653847a64575768a2af15f6fccc4c7c20ee917a0
  • 67a8484332d9350bc351fa3815c1e82670bca3d0
  • 67cff229c181561574250c57a069d217c2fce62b
  • 6e65f688032121a41a79de85e2f54fd5757f75e7
  • 73427082bae4f56b0f9c47ef982a53942c1b707b
  • 82f81a24d4e3bf50a68f38a5335b53cdb14c45b2
  • 8ef0cbe26e070c15b8ea0dfa651b5a3c16b9c5c5
  • 9c2db6758c2295bfe4953f11b037d5d85e7a3b1b
  • c744be71875d0f0d27b4f94ea61faff88a02eb73
  • d68885090b30429edc60d6004ce95096193c1be8
  • e221246d97eaec9d0fa1ec68f55792db6a325902
  • e9e5c4243b2b923ce2a15040429964561b495589
  • eb6702582914183faa026a96d9275356c5ab6ab1
  • f3536dade38a80e04a46b6c1d05681d0a78a1674
  • f632b20e6835d1ef89a19c0dbffd10430c8911bc
  • fe7667f7ea1cdf497c35ba7adad32a5ed790051d

SHA256

  • 03846249abbc6fac612493843a39c55c8e45cbd795d85cf954d1cafc7602864b
  • 0ace41794e85342cbff8adbbd331b8c174b31097276f4c37f858ae805b2384a6
  • 1918e9aafc580711377e2cd239b9185b571db145b6d830681c87e21561508835
  • 1fa0161210fd02fdad616bd3c1f140f58b018963e141056e09d70b2b334e1c53
  • 23f9b24ea46548ee39e5213d8cae91fa9e08d3fa1adbf317a4a00c85eb04a521
  • 3306d074c43a4ed9626ae4feafed686cd88e49051dfe690eddefff862d80920d
  • 4645d34288689ad85455b74fbcc350521fead8870a46a87f3fb2e152433e6f0d
  • 53c8d2f87e9576646d5ed60587147ef16463757ba9128282b63519d6aefaf3ad
  • 5638ab52e17343afe5c35b8208aecb79bc46555390d8ab0df644dbb716886e82
  • 66ee7011fdf4052fb960afdba3f30661b4cf29b99142ace75a8896a88d27183e
  • 6dc40233d81640f532a1cbc1feb74d116b034db7c2871f2b0fe0124bcc542d8e
  • 80b9dc82e46e5cf2487d7d3da7720350e22447d5c489da93456c1ef3e006d931
  • 9eb81233b5448e13d2288f4e15ac515cde0e65458fcb27f27d0c100dcdff35f7
  • a454fdc612637e229ce1138b7a599ea2936e6ea84b1391adc38b9a5abdb6c805
  • cc2bb9e2c3fbed49597a10447440c931b520871891d881ae79fe6ec9b55d0b40
  • d0fc980288bcba28b18d99c345dafe4d407099edbe4819e9ace0de39b13f3d5a
  • db31f11d542541ac56c170ede793851c2859bc940e245ccfbffc0f876df86bff
  • e8586bf4bf6dd8ff3426d0ca5f08b9007a2ef2fb6e5bdc8ae3b6efa8c792d945
  • eb6e8fcaccb8400eaded15b14819b58cb804d870d8767362e39a69e55d3e40a2
  • ed13f7bb37a81be356eb20df484a449138b2cd4079d64921b9bc007560adbfca
  • ef5759af287e095b29b5843f7f5a2cce4539acfd8ac064461d32bf1db5ed5b1f
  • f4ce2de745e22fcba3d7ad693d8d845ca0e6f61c113e417a803f8c8fc57e3d19
  • f7b011a9e5c9c00b380f9645abd96c1643a0e2628a954dad7a06070c3206b4f2
  • f91e55a1af83a0e8c5f7f4c3a47b15ad1be396010d775478064287f99ed1b130
  • fb341be26730b0fb9202852ffa0ea8c25b26b7a1aab8950d8bd0c09c8600322a
Комментарии: 0
Похожие записи
0
6 часов
IOC

Shedding Zmiy использовал руткит Puma для атаки на IT-компанию

security
В ноябре 2024 года специалисты Solar 4RAYS были вызваны для расследования инцидента в одной из IT-компаний. В ходе расследования выяснилось, что на связь выходили известные C2, принадлежащие группе Shedding Zmiy.
0
2 дня
IOC

Профили группы APT - Larva-24005

security
В процессе расследования взлома разведывательный центр AhnLab SEcurity (ASEC) обнаружил новую операцию, связанную с группой Kimsuky, и назвал ее Larva-24005.1 Злоумышленники использовали уязвимость RDP для проникновения в систему.