Главная страница » IOC
0
1 год
IOC

SmokeLoader Malware IOCs - Part 14

security

Аналитический центр AhnLab SEcurity (ASEC) обнаружил, что многочисленные вредоносные программы SmokeLoader распространяются среди украинского правительства и компаний. Похоже, что в последнее время количество атак, направленных на Украину, увеличилось. Среди подтвержденных целей - Министерство юстиции Украины, государственные учреждения, страховые компании, медицинские учреждения, строительные и производственные компании.

SmokeLoader - это вредоносная программа-загрузчик, которая может загружать дополнительные модули или вредоносное ПО, получая команды после подключения к C&C-серверу. При выполнении он внедряется в файл explorer.exe, и вредоносная активность осуществляется следующим образом. Сначала он дублирует себя под именем "ewuabsi" по пути %AppData%, где скрывается и предоставляет свойства системных файлов. Затем он пытается подключиться к перечисленным ниже C&C-серверам, откуда можно дополнительно загрузить Lockbit ransomware и различные другие вредоносные программы.

Распространяемое электронное письмо имело формат и было написано на украинском языке. В теле письма содержалась информация о счете-фактуре, предлагающая читателю выполнить вложенный файл.

Вложенный файл представляет собой сжатый файл (7z), внутри которого находится еще один сжатый файл (ZIP). Внутри этого сжатого файла находится EXE-файл в формате SFX и SmokeLoader, замаскированный под расширение PDF.

Расширение SmokeLoader установлено как PDF, поэтому он не запускается должным образом, когда пользователь нажимает на файл для выполнения. Файл запускается с помощью SFX, который также находится внутри сжатого файла.

Сначала SFX-файл создает и запускает PDF- и BAT-файлы. PDF - это просто файл-приманка, используемый для обмана пользователя.

Indicators of Compromise

URLs

  • http://agropromnubilon.ru/index.php
  • http://avicilombio.ru/index.php
  • http://civilomicanko.ru/index.php
  • http://germagosuplos.ru/index.php
  • http://limanopostserver.ru/index.php
  • http://lumangilocino.ru/index.php
  • http://niconicalucans.ru/index.php
  • http://numbilonautoparts.ru/index.php
  • http://specvestniknuk.ru/index.php
  • http://specvigoslik.ru/index.php

MD5

  • 7ccf5bb03e59b8c92ad756862ecb96fd
  • 852ce0cea28e2b7c4deb4e443d38595a
Комментарии: 0
Похожие записи
0
3 дня
IOC

Тенденции в распространении вредоносного стилеров за март 2025 года

Spyware
В AhnLab Security Intelligence Center (ASEC) разработаны системы для предварительного реагирования на угрозы по типу Infostealer. Системы автоматически собирают вредоносное программное обеспечение и производят
0
7 дней
IOC

Тенденции марта 2025 года в области фишинговых писем

phishing
Наиболее распространенным типом угрозы среди фишинговых писем был фишинг, при котором злоумышленники используют скрипты, такие как HTML, чтобы подделать макет экрана, логотипы и шрифты страниц входа в систему и рекламных страниц.
0
13 дней
IOC

BeaverTail и Tropidoor распространялись через рекрутинговые письма

security
В ноябре 2024 года был раскрыт случай распространения вредоносных программ BeaverTail и Tropidoor через рекрутинговые электронные письма, где злоумышленники выдавали себя за рекрутеров из сообщества разработчиков Dev.