Главная страница » IOC
0
3 месяца
IOC

Sandworm (APT44) APT IOCs - Part 8

security

17.12.2024 CERT-UA от специалистов MIL.CERT-UA получена информация об обнаружении ряда веб-ресурсов, имитирующих официальную страницу приложения «Армія+» и опубликованных с помощью сервиса Cloudlfare Workers.

Описание

В случае посещения упомянутых веб-сайтов пользователю предлагается загрузить исполняемый файл «ArmyPlusInstaller-v.0.10.23722.exe» (название меняется).

Установлено, что EXE-файл является инсталлятором, созданным с помощью NSIS (Nullsoft Scriptable Install System), который, кроме .NET файла-приманки «ArmyPlus.exe», содержит файлы интерпретатора Python, архив с файлами программы Tor, а также PowerShell-скрипт «init.ps1».

В случае открытия файла «ArmyPlusInstaller-v.0.10.23722.exe» будет осуществлен запуск файла-приманки, а также PowerShell-скрипта, назначением которого является:

  • установка на ЭВМ жертвы OpenSSH-сервера
  • генерация пары RSA-ключей
  • добавление публичного ключа в файл «authorized_keys» для аутентификации
  • отправка приватного ключа с помощью «curl» на сервер злоумышленников (TOR-адрес)
  • публикация скрытого SSH-сервиса с помощью Tor.

Таким образом создается техническая возможность для удаленного скрытого доступа к компьютеру жертвы.

Упомянутая активность отслеживается CERT-UA по идентификатору UAC-0125 и, с достаточным уровнем уверенности, ассоциируется с кластером UAC-0002 (APT44 aka Sandworm).

При этом, в инцидентах, которые имели место в первой половине 2024 года вектором первичной компрометации служил пакет программ Microsoft Office (например, «Office16. iso», MD5: 79782773ffee7b8141674c27e9bfc109), содержащий троянизированный компонент „omas-x-none.msp“ (MD5: 08a0c1166d8e50d95254b198b8168726), в котором находился файл „CommunicatorContentBinApp.cmd“ (MD5: 4316eb790d186ffda2999257f8ded747) с PowerShell-командой.

Indicators of Compromise

Domains

  • aplusdesktop.workers.dev
  • aplusmodgovua.workers.dev
  • armylpus.workers.dev
  • armyplus-desktop.workers.dev
  • desktopaplus.workers.dev
  • desktopapluscom.workers.dev
  • workers.dev

Onion Domains

  • wvtmsouaa2gt6jmcuxj5hkfrqdss5lhecoqijt5dl7gfruueu3i5mkad.onion

MD5

  • 0799756f104a70cb6ce0cfc422de25db
  • 52853b39922251a4166a5b032e577e7a
  • a27a90a685dad9fc7f1c5962f278f197
  • a2f355057ade20d32afc5c4192ce3986
  • ed0c7c1925ac23bd8b4d09e77aabb0ee

SHA256

  • 4dca04f1e16cbe88776a3187031cff64981155cb3b992031250c6fed40496318
  • 86039bc8b1a6bb823f5cbf27d1a4a3b319b83d242f09ffcd96f38bbdbbaaa78f
  • 8ba4c3ede1ed05a3ad7075fee503215648ec078a13523492e2e91a59fa40c8da
  • b663e08cc267cdb7a02d5131cb04b8b05cb6ad13ac1d571c6aafe69e06bf8f80
  • d2049157980b7ee0a54948d4def4ab62303ca51cadaada06fb51c583ecbce1a2
Комментарии: 0
Похожие записи
0
21 час
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.
0
21 час
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает