Главная страница » IOC
0
2 года
IOC

SmokeLoader IOCs - Part 9

security

CERT-UA 29.05.2023 зафиксирована очередная кампания по распространению вредоносной программы SmokeLoader. Так, для отправки электронных писем применяются легитимные скомпрометированные электронные почтовые ящики, а доставка SmokeLoader на ЭВМ осуществляется несколькими способами.

  • EML -> ZIP -> HTML (JavaScript) -> ZIP -> JavaScript (загрузчик) -> EXE -> SmokeLoader
  • EML -> RAR -> VHDX -> JavaScript (загрузчик) -> EXE -> SmokeLoader
  • EML -> RAR -> VHD -> JavaScript (загрузчик) -> EXE -> SmokeLoader

При этом, вероятно, благодаря ошибке атакующих, в одном из VHDX-файлов (среди удаленных файлов) обнаружен исполняемый файл "Заява шахрайська операція СІРІОН.scr" (MD5: c901c23016390f8edb3799b5f1b98e2c), что является вредоносной программой Cobalt Strike Beacon.

Ряд изменений в тактиках, техниках и процедурах UAC-0006:

  • использование нескольких цепочек заражения
  • распространяемый образец SmokeLoader содержит 26 URL-адресов сервера управления бот-сетью (подавляющее большинство доменов не зарегистрировано);
  • обнаружение вредоносной программы Cobalt Strike Beacon может свидетельствовать о расширении перечня используемого группировкой инструментария.

Для регистрации доменных имен и размещения серверов управления бот-сетью злоумышленники используют российских регистраторов доменных имен и провайдеров: @reg.ru, @nic.ru, @iqhost.ru, @macloud.ru, @cloudx.ru, которые способствуют реализации злонамеренного замысла.

В который раз напоминаем, что для запуска JavaScript-загрузчика, который обеспечит доставку и запуск SmokeLoader, используется Windows Script Host (wscript.exe, cscript.exe) в связи с чем, с целью уменьшения поверхности атаки, рекомендуем ограничить возможность использования этой технологии на ЭВМ.

В результате атаки 05.05.2023 вредоносной программой SmokeLoader было успешно инфицировано около 1100 ЭВМ.

Indicators of Compromise

IPv4

  • 176.124.193.111
  • 193.106.174.215
  • 23.230.13.93
  • 77.232.37.148
  • 93.185.166.142

Domains

  • alegoomaster.com
  • azartnyjboy.com
  • criticalosl.tech
  • droopily.eu
  • filterfullproperty.ru
  • freesitucionap.com
  • gondurasonline.ug
  • hopentools.site
  • humanitarydp.ug
  • infomalilopera.ru
  • jkghdj2993jdjjdjd.ru
  • jskgdhjkdfhjdkjhd844.ru
  • kismamabeforyougo.com
  • kissmafiabeforyoudied.eu
  • kjhgdj99fuller.ru
  • lamazone.site
  • maximprofile.net
  • nabufixservice.name
  • polinamailserverip.ru
  • premiumjeck.site
  • prostotaknet.net
  • verycheap.store
  • zaikaopentra.com.ug
  • zaikaopentra-com-ug.online
  • zakolibal.online
  • zalamafiapopcultur.eu
  • zaliphone.com

User-Agent

  • Google Chrome

URLs

  • http://93.185.166.142/en_US/all.js
  • http://93.185.166.142/submit.php
  • http://alegoomaster.com/
  • http://azartnyjboy.com/
  • http://criticalosl.tech/
  • http://droopily.eu/
  • http://filterfullproperty.ru/
  • http://freesitucionap.com/
  • http://gondurasonline.ug/
  • http://hopentools.site/
  • http://humanitarydp.ug/
  • http://infomalilopera.ru/
  • http://jkghdj2993jdjjdjd.ru/
  • http://jskgdhjkdfhjdkjhd844.ru/
  • http://kismamabeforyougo.com/
  • http://kissmafiabeforyoudied.eu/
  • http://kjhgdj99fuller.ru/
  • http://lamazone.site/
  • http://maximprofile.net/
  • http://nabufixservice.name/
  • http://polinamailserverip.ru/
  • http://premiumjeck.site/one/renew.exe
  • http://prostotaknet.net/
  • http://verycheap.store/
  • http://zaikaopentra.com.ug/
  • http://zaikaopentra-com-ug.online/
  • http://zakolibal.online/
  • http://zalamafiapopcultur.eu/
  • http://zaliphone.com/

Emails

MD5

  • 07b0f47e2c9fadf6bb742405b1fa712c
  • 3572d45b0c17ed8c04f82065bf1a5e78
  • 42ab13a5f832f542d18083839671b340
  • 4fd9c773b8c4683dfe0ef18c43c2f7e7
  • 6626cd1ffce52c4234c271e5e4e3a603
  • b863109ee783cfa0617c7a8fd8366f32
  • c5ba8159cbb49d89e0fb07b5a93c507b
  • c901c23016390f8edb3799b5f1b98e2c
  • c912edceb30ca0beb505f31f022690b4
  • d26bfee018dbdc10328acaf307191f43
  • d38ac2b423950804939b84f744f9de41
  • d3c40297c31d14939e2781a353c8f087
  • e0ffa7d71c70c4ef2cddf0fa8d951128

SHA256

  • 24b94fed39c67b5a4f6675dc944b1a17914a90d218432d0aa8714442f6fa77eb
  • 31648abf13e3e9e96ffa8ef6361473a72cc6e5e1ac170f26df558155a76cf9fb
  • 4eb777f90399df3c658181550b02a247b2ce45546bd576b8b8c222946bb17c01
  • 51073b3884699eb4779004ab08d793635f3913c36139bce9ff0aead9f383849c
  • 5c85249d375a3a38e87a45857c069c6710caef1e521194eed1b4c1ff463e5b0b
  • 6667500156d0b0d81fb98d32794c8c50de82fc915d2a59780e9b6e1b9f78ada7
  • 81c074fa84dc8637740e77ac8b4fe1b64d7da74f1c2b8bc56d14fcbb633829cc
  • 88f8249b22062a36a7cc170ce9de943b6cd73ce7bf6625a0572b46def686baac
  • b9e7780b1bf98b1f2e0fd25c793530891bbb678da743be6229d3466234c9e56c
  • c32974b865152c6ca3c5f0cc787319dfc2b32ea1bebc1f37f6c36d2ca75439c8
  • ce371d4ab4c782ca2db441c723ceafbf05b6d6ae0234469747288dcecf2eafbc
  • d3fe939abc37519cf9968874270d356abd8b10887ce7e78a5fb1624d288f14b8
  • ef3fad88a7ffd4ea39152f0f190db38afdeac256ddfde0ac3a1369c4744357c0
Комментарии: 0
Похожие записи
0
11 дней
IOC

Целевая шпионская активность UAC-0226 в отношении центров инноваций, государственных и правоохранительных органов с использованием стилера GIFTEDCROOK

Spyware
CERT-UA, начиная с февраля 2025 года, отслеживается целевая активность, которая осуществляется с целью шпионажа в отношении центров развития инноваций в военной сфере, военных формирований, правоохранительных
0
12 дней
IOC

Кибершпионаж с использованием PowerShell-стилера WRECKSTEEL

Spyware
Национальный агентство по реагированию на компьютерные чрезвычайные события в Украине (CERT-UA) принимает меры по сбору и анализу данных о кибератаках с целью предоставления информации о киберугрозах.
0
18 дней
IOC

Emmenhtal распространяет вредоносное ПО SmokeLoader

security
В ходе исследования злоумышленной кампании, направленной на Первый украинский международный банк (pumb[.]ua), компания SEKOIA обнаружила использование скрытого загрузчика вредоносного ПО, известного как