Главная страница » IOC
0
2 года
IOC

SmokeLoader IOCs - Part 8

security

CERT-UA выявлен факт распространения электронных писем с использованием скомпрометированных учетных записей с темой "рахунку/оплати" с приложением в виде ZIP-архива.

Упомянутый ZIP-архив является файлом-полиглотом, содержащим документ-приманку и JavaScript-файл "pax_2023_AB1058..js", который, используя PowerShell, обеспечит загрузку и запуск исполняемого файла "portable.exe". Последний, в свою очередь, осуществит запуск вредоносной программы SmokeLoader (дата компиляции: 2023-04-24 11:45:17).

Даты регистрации доменных имен, а также дата компиляции файла свидетельствуют о том, что кампания инициирована в апреле 2023 года.

Активность группы UAC-0006 является финансово-мотивированной и осуществлялась с 2013 года по июль 2021 года. Типичный злонамеренный замысел заключается в поражении ЭВМ бухгалтеров (с помощью которых осуществляется обеспечение финансовой деятельности, например, доступ к системам дистанционного банковского обслуживания), похищении аутентификационных данных (логин, пароль, ключ/сертификат) и создании несанкционированных платежей (в некоторых случаях с использованием HVNC бота, непосредственно с пораженной ЭВМ).

Indicators of Compromise

IPv4

  • 193.106.175.177

Domains

  • 3dstore.pro
  • balkimotion.ru
  • coudzoom.ru
  • criticalosl.tech
  • homospoison.ru
  • humanitarydp.ug
  • ipodromlan.ru
  • lamazone.site
  • ligaspace.ru
  • maximprofile.net
  • redport80.ru
  • shopersport.ru
  • sindoproperty.org
  • superboler.com
  • zaliphone.com

URLs

  • http://3dstore.pro/
  • http://balkimotion.ru/
  • http://coudzoom.ru/
  • http://criticalosl.tech/
  • http://homospoison.ru/one/portable.exe
  • http://humanitarydp.ug/
  • http://ipodromlan.ru/
  • http://lamazone.site/
  • http://ligaspace.ru/
  • http://maximprofile.net/
  • http://redport80.ru/
  • http://shopersport.ru/
  • http://sindoproperty.org/
  • http://superboler.com/
  • http://zaliphone.com/

Emails

MD5

  • 12f77d1be4344fb88f1093550b092ab6
  • 185efba2b3bf87e7d49a05ebb0ad5114
  • 3de79fc46c7f32807397309d52001b25
  • 68bc4ce7b6c15f1f5a40e361b2214fce
  • 8f05b8ea15b88c441219cf8310010df0
  • ef40fca1afe6ae5320cf396a736718ad

SHA256

  • 24471f2fd20e7386aa533b51bf851cdeb9ee0750a615273c6004b86e463d36d2
  • 352974cfdf1a7e182180f8c813a159ae44bb35268d76fae91ab64139be9200bd
  • 3c4440dde25ead7074bf3bf90aed31844310c3f1da90ff7e20922fad4c3eab25
  • 7ee1ab4270a5293e7151a6321ce17962022802f72a7d58c264e43a016a8a49a4
  • cd0226a2b9c38ab99f2bbe4461b7fc9d4b07faafbe1ccc53d92bf08d1903a8ae
  • f4e72685fb3efa5bad200451d36c7d1e72a94515c515bdbb09c00254dca289ea
Комментарии: 0
Похожие записи
0
1 день
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает
0
14 дней
IOC

UAC-0173 APT IOCs

security
CERT-UA обнаружил возобновление деятельности организованной преступной группировки UAC-0173. Эта группировка, действуя по заказу и получая денежное вознаграждение, проводит кибератаки на компьютеры нотариусов
0
15 дней
IOC

Целевая активность UAC-0212 в отношении разработчиков и поставщиков решений АСУТП с целью осуществления кибератак на объекты критической инфраструктуры Украины

security
Злоумышленники использовали новые тактики, такие как отправка PDF-документов с ссылками, которые при эксплуатации уязвимости CVE-2024-38213 загружали LNK-файлы, запускали PowerShell-команды и загружали вредоносные файлы.
0
22 дня
IOC

Buer Loader IOCs

security
Buer (BuerLoader) - это загрузчик, продаваемый на подпольных форумах и используемый злоумышленниками для доставки вредоносных программ с полезной нагрузкой на целевые машины.