Главная страница » Индикаторы компрометации
0
7 часов
Индикаторы компрометации

Российские организации подверглись серии кибератак с использованием вредоносного ПО Pure

remote access Trojan

Российские организации подверглись серии кибератак с использованием вредоносного ПО Pure, причем в начале 2025 года частота атак значительно возросла по сравнению с предыдущим годом.

Описание

Вредоносная программа Pure, впервые обнаруженная в середине 2022 года, распространяется по модели «вредоносное ПО как услуга», обеспечивая легкий доступ для любых заинтересованных лиц. Для атак используются в основном спам-письма с вложениями, выдаваемыми за архивы RAR или ссылки, ведущие на такие архивы. Примечательно, что вредоносные файлы в этих архивах часто используют специфические ключевые слова, связанные с бухгалтерской деятельностью, маскируясь под легитимные документы.

После выполнения схема заражения вредоносной программы включает различные шаги, такие как копирование себя в %AppData%, создание сценариев автозапуска, извлечение дополнительных исполняемых файлов и создание модуля бэкдора, известного как PureRAT. Этот сложный модуль использует SSL-соединения для связи с командно-контрольными серверами, передавая подробную информацию о зараженных устройствах, антивирусном ПО, операционной системе, пользовательских данных и многом другом. Через этот канал связи вредоносная программа может получать от сервера C2 инструкции и дополнительные модули для выполнения различных вредоносных операций.

Один из таких модулей, PluginWindowNotify, отслеживает активные окна на предмет определенного содержимого, делает скриншоты и отчитывается перед C2-сервером. Другой модуль, PluginClipper, предназначен для обнаружения адресов криптовалютных кошельков в буфере обмена, изменения данных, создания скриншотов и отправки информации на сервер C2. Эти возможности позволяют злоумышленникам потенциально использовать финансовые сервисы, получать доступ к конфиденциальной информации и совершать несанкционированные действия на взломанных системах. Использование плагинов с различными функциональными возможностями подчеркивает продвинутый и целенаправленный характер атак PureRAT на российские организации, а также свидетельствует об эволюции тактики, используемой киберпреступниками при осуществлении своей вредоносной деятельности.

Индикаторы компрометации

IPv4 Port Combinations

  • 195.26.227.209:23075
  • 195.26.227.209:56001

URLs

  • https://apstori.ru/panel/uploads/bghwwhmlr.wav

MD5

  • 9b1a9392c38cae5da80fe8ae45d89a67
  • dd2c1e82c5656fcb67ab8ca95b81a323

SHA1

  • 01abaf9193e51d6484e5f62820a6631bbb48729c
  • 0b30f78b1681b63d58bbed8bae6ae937ffc3a38b

SHA256

  • 3acd18c8790f7556671aded0785bebfef8eefc57137b58c2118add5834c82c33
  • bd6f35f5d87c04a30775aa53432c009383ca08284208e737ba435d96bdb8abfe
Комментарии: 0
Похожие записи
0
1 день
Индикаторы компрометации

Беcфайловая атака: PowerShell-лоадер доставляет Remcos RAT

remote access Trojan
Киберпреступники активно используют PowerShell для скрытных атак, обходящих традиционные антивирусные защиты. Запуская код напрямую в памяти, такие угрозы почти не оставляют следов на диске, что затрудняет их обнаружение.
0
5 дней
Индикаторы компрометации

Бесфайловое выполнение: Загрузчик K-Loader на базе PowerShell выполняет Remcos RAT

remote access Trojan
Киберпреступники все чаще используют PowerShell для проведения скрытных атак, обходящих традиционные средства защиты и антивирусы. Такие угрозы выполняют свой вредоносный код в памяти, минимизируя следы на диске и усложняя обнаружение.
0
6 дней
Индикаторы компрометации

BTMOB RAT теперь нацелен на PIN-коды Alipay

remote access Trojan
Команда Zimperium zLabs провела исследование и выявила несколько версий BTMOB RAT, включая v2.6, v2.7, v2.8, v2.9, а также новые версии v3.1 и v3.2, которые распространяются через фишинговые сайты, маскируясь под обновления.