SmokeLoader Malware IOCs - Part 12

CERT-UA 21.07.2023 и 24.07.2023 зафиксированы очередные атаки группировки UAC-0006 с применением вредоносной программы SmokeLoader.

При этом, злоумышленники применяют ZIP-полиглот, доступное пользователю содержимое которого будет зависеть от программы-архиватора, с помощью которого этот архив открыт. В случае применения WinRAR упомянутый ZIP-полиглот будет содержать ZIP-архив с расширением ".pdf", в котором будут находиться JavaScript-файлы (21.07.2023) или ZIP-архив с расширением ". docx" (24.07.2023), содержащий исполняемый файл "Pax_ipn_18.07.2023p.jpg", JavaScript-загрузчик "2.Витяг з реєстру від 24.07.2023р_Код документа 9312-0580-6944-3255. xls.js" и SFX-архив "1.Платежная инструкция ИНН и выписка из реестра Код документа 9312-0580-6944-3255.exe" с файлом-приманкой "document_payment. docx" (копия "Платежная инструкция Приват_банк.docx") и BAT-скриптом "passport.bat", предназначенным для запуска "Pax_ipn_18.07.2023p.jpg", что является копией загружаемого "weboffice.exe".

Учитывая размер ботсети (более 1000 компьютеров), можно утверждать, что для массового распространения электронных писем применяются скомпрометированные аутентификационные данные, полученные с уже пораженных ЭВМ.

Возобновленная активность упомянутой группировки приведет к повышению количества случаев мошенничества с использованием систем дистанционного банковского обслуживания.

Руководителям предприятий и/или непосредственно бухгалтерам подчеркиваем необходимость обеспечения безопасности автоматизированных рабочих мест, предназначенных для формирования, подписания и отправки платежей путем применения программных средств защиты, ограничения возможности запуска ранее упомянутых штатных утилит (wscript.exe, cscript.exe, powershell.exe, mshta.exe) и фильтрации исходящих информационных потоков.

Indicators of Compromise

IPv4

• 194.87.32.152

Domains

• abracodabugalimpopo.ru
• cityofuganda.ug
• coinmakopenarea.su
• gondurasonline.ru
• goodlenuxilam.site
• hillespostelnm.eu
• hopentools.ru
• humanitarydp.ru
• infomailforyoumak.ru
• jimloamfilling.online
• jslopasitmon.com
• kilomunara.com
• kismamabeforyougo.ru
• kismamabeforyougo.su
• kissmafiabeforyoudied.ru
• krasavchikoleg.net
• maxteroper.ru
• mediaplatformapharm.ru
• metallergroup.ru
• nabufixservice.su
• nafillimonilini.net
• napropertyhub.eu
• sismasterhome.ru
• supermarioprohozhdenie.ru
• tvpharm.ru
• ukr-net-downloadfile.su
• vertusupportjk.org
• zaikadoctor.ru
• zaikaopentra.com.ru
• zaikaopentra-com-ug.su
• zalamafiapopcultur.ru
• zallesman.ru
• zarabovannyok.eu

URLs

• http://abracodabugalimpopo.ru/
• http://cityofuganda.ug/
• http://coinmakopenarea.su/
• http://gondurasonline.ru/
• http://goodlenuxilam.site/
• http://hillespostelnm.eu/
• http://hopentools.ru/
• http://humanitarydp.ru/
• http://infomailforyoumak.ru/
• http://jimloamfilling.online/
• http://jslopasitmon.com/
• http://kilomunara.com/
• http://kismamabeforyougo.ru/
• http://kismamabeforyougo.su/
• http://kissmafiabeforyoudied.ru/
• http://krasavchikoleg.net/
• http://maxteroper.ru/
• http://mediaplatformapharm.ru/officedownloadfile/weboffice.exe
• http://nabufixservice.su/
• http://nafillimonilini.net/
• http://napropertyhub.eu/
• http://sismasterhome.ru/
• http://supermarioprohozhdenie.ru/
• http://tvpharm.ru/officedownloadfile/weboffice.exe
• http://ukr-net-downloadfile.su/summary/php/form/name/267856437856374568797257305680384563486589345630856730443317231095623053892649181649624634323436573846539045738975836746573657389457386/file/видаткова_накладная_№121_вiд_18_липня_2023р.html
• http://vertusupportjk.org/
• http://zaikadoctor.ru/
• http://zaikaopentra.com.ru/
• http://zaikaopentra-com-ug.su/
• http://zalamafiapopcultur.ru/
• http://zallesman.ru/
• http://zarabovannyok.eu/

MD5

• 1a065074fcc0d48847e32f38892b3c12
• 42f08f682c42869cde79859051d37064
• 5789253a953bf202f65646e25a66bdb8
• 709e041b063eec4252c56262eb508f8f
• 764a96c880ac2cec57ad70a5b90e4aee
• 772e3f83b5aa7ffb1842e08779b3f472
• 77ed82231cb866431254a1c57d19f52f
• a7ad7d4f8c8fcee4fa2f3d00efc189d4
• b7bb3ca2607c91ee010e641da39e76d5
• db6bd918c27d270a1e9184d8527ba0f8
• dcb2c6ca06b00689632a36fce3b09ee9
• f24e6fa4773f5e8da55a0f1a6dce80de
• faaf2b2088116b215ba632a919054724

SHA256

• 0d910dac90a30dec52c6484bd7087f4a1d55d827a093a2f43c9dfe59a082aab9
• 185b82b06a5bc2ccb5643440227293c7fa123216f7abfb685bdc0dc70dffdc37
• 2010d6fef059516667897371bea5903489887851c08e0f925a5df49731ec9118
• 27eda43b4fff19cc606f87414705cefa7271bd8f998176c2b49a5fc35bee5c21
• 349ea50d43d985a55694b440ca71062198a3c7a1f7764509970d37a054d04d2a
• 890959904a520f2d99b2aee5763fec2a5cd0e490657aeed9e0a7a9ae60dde517
• a512209933998bcd0a07a16af04aa7fd05e3c23103978ad250a7e1cb249d4baa
• adebbe0faf94f6b0abff96cf9da38d4c845299c7fde240e389553bf847e3d238
• b8a4c70fe729cbce02dc67b18ee0f8397834cd2067664363617567a255427242
• c7059b122cb73d565d30d16ad97bdd412ea9f47292a5e3a30298c1ba5041290c
• ccf57eff80d10c7a3d6236802e91d4f60fbe68a8cca21d670ffdb7c6c6cb897b
• df6a88f5ace3b06119c30539048a2d8724c511de287a43201c610ef236ca64b8
• fb7b8a4c761b04012aa384e35b219e1236dfb6639a08bddc85cd006f0ca92d9f