Главная страница » IOC
0
2 года
IOC

SmokeLoader Malware IOCs - Part 13

security

CERT-UA в период со 2 по 6 октября 2023 года зафиксировано, по меньшей мере, четыре волны кибератак, осуществленных группировкой UAC-0006 с применением вредоносной программы SmokeLoader.

Для отправки электронных писем применяются легитимные скомпрометированные электронные почтовые ящики, а доставка SmokeLoader на ЭВМ осуществляется несколькими способами, в частности:

  • EML -> ZIP (полиглот) -> ZIP -> SFX -> BAT -> EXE (SmokeLoader)
  • EML -> ZIP (полиглот) -> ZIP -> JS (загрузчик) -> EXE (SmokeLoader)
  • EML -> ZIP (полиглот) -> EXE (SmokeLoader)
  • EML -> ZIP (полиглот) -> JS -> EXE (SmokeLoader)
  • EML -> PDF -> ZIP (полиглот) -> JS -> EXE (SmokeLoader)
  • EML -> PDF -> ZIP -> ZIP -> JS -> EXE (SmokeLoader)

Текущая конфигурация SmokeLoader (дата компиляции: 2023-09-11 11:58:47) используется со второй декады сентября по настоящее время. Кроме того, сервер управления вредоносной программой размещен на технической площадке ООО "Трейдер софт" (@simplecloud.ru, ОГРН:1089848043086, г.Санкт-Петербруг, Чекель Н.В.):

  • 85.143.216[.]129 (16.09.2023)
  • 85.143.172[.]45 (01.10.2023)

Замысел злоумышленников заключается в поражении ЭВМ бухгалтеров для похищения аутентификационных данных (логин, пароль, ключ/сертификат) и/или подмены реквизитов финансовых документов в системах дистанционного банковского обслуживания с целью отправки несанкционированных платежей.

Indicators of Compromise

IPv4

  • 85.143.172.45
  • 85.143.216.129

Domains

  • diplombar.by
  • dublebomber.ru
  • iloveua.ir
  • ipoluchayteudovolstvie.ru
  • kozachok777.ru
  • moyabelorussiya.by
  • nomnetozhedenyuzhkanuzhna.ru
  • popuasyfromua.ru
  • propertyiran.ir
  • propertyminsk.by
  • prostosmeritesya.ru
  • restmantra.by
  • sakentoshi.ru
  • specnaznachenie.ru
  • super777bomba.ru
  • tvoyaradostetoya.ru
  • yavasponimayu.ru
  • zakrylki809.ru
  • zasadacafe.by

URLs

  • http://diplombar.by/
  • http://dublebomber.ru/
  • http://iloveua.ir/
  • http://ipoluchayteudovolstvie.ru/
  • http://kozachok777.ru/
  • http://moyabelorussiya.by/
  • http://nomnetozhedenyuzhkanuzhna.ru/
  • http://popuasyfromua.ru/
  • http://propertyiran.ir/
  • http://propertyminsk.by/
  • http://prostosmeritesya.ru/
  • http://restmantra.by/
  • http://sakentoshi.ru/
  • http://specnaznachenie.ru/
  • http://super777bomba.ru/
  • http://tvoyaradostetoya.ru/
  • http://yavasponimayu.ru/
  • http://zakrylki809.ru/
  • http://zasadacafe.by/

MD5

  • 0728c2a5375b615042020acdf26f4567
  • 0c174d287a4af1ad05fd1b8ea40c7003
  • 24a3f685542a83934f311b69714e6392
  • 331ddbbd644c1088f56497ea066cf804
  • 3b6dbc53b1960269184585ede349e347
  • 45c63b6de683c5bb62cd93ace3c9433a
  • 65c7d9e822c9f2b8291202128644e825
  • 66d62c348cb3b50d2edd5a9ae6778b51
  • 67d4e3736690f1863bb22681faecd2ba
  • 861970dd2bc82ddea7fc4b6fff21b69d
  • 99c11a67c6ab54c5a14dbb0f44edea44
  • a12a7a8edd7fee2ec3b2b47e0a33830f
  • a3ca1983e0741d9d5816af3f89570472
  • ad3093db8fc1d9273bfd61db1c9f5f79
  • ae5a549b9d3f7efb1197df0928b28a47
  • b6c134f4f94612f903f6e555af707553
  • b6d8f49b3d0f81514e8a40c9a03d8636
  • c4029c4f5ec1aa2db0d957fe712f57b8
  • ccbdbaa1f2ba8322554fcfa772d20862
  • e0abf9e0e69184f9a928382959c9ac80
  • f0c949f396dca8bdf6d67cf6ad4adfeb
  • f9fb94165f54cd0b5b0c00e1880d5363
  • fe7c42b5711cdc65af404ef5c299f9ce

SHA256

  • 0f93344347469ebef7b0d6768f6f50928b8e6df7bc84a4293b7c4a7bb5b98072
  • 143310670009099214b1b1a812e98a485db3e2879ab35dca8ba63005a62a610c
  • 2c44c9b445d2efc2f46e463d933da2ffc1d3ba6718bd67d3957c3f916b7c79fe
  • 31be756b4315098a94855a8b236bcf6e55d97acbc5cebe75d1a668dff45bb82b
  • 3ac06154dea00c6f17fba1c52956affdda59eba036b3d5d077c37c93fe277a26
  • 40c9bc7186f21b6e2a7da28632e70d9b9bce01cc63c692d4383ac03e13e45533
  • 411525bb70e9579cc4dc62458bbcfc88ca44d6ca6046a43e4e2ef13873edb1a8
  • 41b74077e7707dfce2752668a3201e3bc596ade5594535c266e3249c2e697cb2
  • 41fe1fea884daee189076a5bb5b288852ed5b72d3b89576b740be6baceaa69c5
  • 493f708129bf25ff4bb734c179d336f223d9d21ea53b7e5e52f9535a72415bfd
  • 55076f9a6e5ee25e2deb7b8417431bd71ff34a74c600efbd53144a9b0a178946
  • 6999f5f3c6824f27b5a1fb436c59d369f6f1ec08365d48cd1c8d21d1058eaafc
  • 739e735aa73cfdbfc08c696e0426434aa78139110b416313d2a39d93915ee318
  • 7781122a4a2aea14f0d7cab9d9a1a9cf0e4e9ef5f31639449f56a0b1ecebb2d9
  • 8b4b9b473f73b70c55d21d33149ced0c234fff919d15ff73cca22b93818a785c
  • 90ed5f6719265e25c3483b11704e3158622128816def1f7515988b7de5f5f1de
  • 9a528b2b31d9d59018878fdf3b9d8db235df606500c67a4b8be3075701b014fc
  • 9b50c4624bd60aea94b85afeeac6d61c485bee42fdeeffedc5d9617f4650c51c
  • ac1aedd7d08d3e92ded28d07944d8a8039650a36dec8b4a5d7b675ce2c5512c4
  • d895f40a994cb90416881b88fadd2de5af165eec1cd41b0ddd08fa1d6b3262bb
  • e5314f7a9969af109606c84567ecf951570dd1495c400a1e5bf215fd5cdb3fd2
  • ebbf474d69519b7ded60c1dab807dab492c33d9caf76e6495c2ee92be573011e
  • fdf8a89e8c90ed0653780acc77c180185b8971e62d2a02dcaabcfc456d05bd96
Комментарии: 0
Похожие записи
0
9 дней
IOC

Целевая шпионская активность UAC-0226 в отношении центров инноваций, государственных и правоохранительных органов с использованием стилера GIFTEDCROOK

Spyware
CERT-UA, начиная с февраля 2025 года, отслеживается целевая активность, которая осуществляется с целью шпионажа в отношении центров развития инноваций в военной сфере, военных формирований, правоохранительных
0
10 дней
IOC

Кибершпионаж с использованием PowerShell-стилера WRECKSTEEL

Spyware
Национальный агентство по реагированию на компьютерные чрезвычайные события в Украине (CERT-UA) принимает меры по сбору и анализу данных о кибератаках с целью предоставления информации о киберугрозах.
0
16 дней
IOC

Emmenhtal распространяет вредоносное ПО SmokeLoader

security
В ходе исследования злоумышленной кампании, направленной на Первый украинский международный банк (pumb[.]ua), компания SEKOIA обнаружила использование скрытого загрузчика вредоносного ПО, известного как