Главная страница » IOC
0
2 дня
IOC

Целевая рассылка Head Mare с бэкдором PhantomPyramid

security

Обнаружена кампания целевой рассылки, потенциальными жертвами которой становятся российские промышленные предприятия.

Описание

Письма рассылаются с одинаковой темой и содержат вложение под названием «Application_[REDACTED]_5_03D.zip». Вложение выглядит как защищенный паролем архив, но на самом деле в нем используется вредоносная технология «полиглот», позволяющая содержать как безобидный компонент, так и вредоносный код на нескольких языках программирования. Файл «Application_[REDACTED]_5_03D.zip» представляет собой двоичный исполняемый файл с небольшим ZIP-архивом в конце.

Внутри вредоносного архива находится ярлык с именем «Application_[REDACTED]_5_03D.pdf.lnk», при открытии которого запускается интерпретатор powershell.exe с определенными аргументами. Этот сценарий ищет файл «Application_[REDACTED]_5_03D.zip» и запускает его как исполняемый файл. Он также извлекает часть содержимого файла, сохраненного как «Application_[REDACTED]_5_03D.pdf» во временном каталоге, и запускает его. В результате пользователь видит документ-обманку, который выглядит как заявка на ремонт оборудования от министерства.

Исполняемая часть файла представляет собой бэкдор под названием PhantomPyramid, написанный на языке Python версии 3.8 и скомпилированный с помощью PyInstaller. При запуске бэкдор формирует JSON-запрос с уникальным идентификатором, полями private IP и public IP и отправляет его по определенному URL. Бэкдор получает публичный IP-адрес с помощью сервиса api.ipify.org и частный IP с помощью функций socket.gethostbyname(socket.gethostname()). После отправки данных бэкдор ожидает ответа от командного центра, подтверждающего успешную регистрацию бота.

Затем бэкдор начинает запрашивать определенный URL-адрес для получения дальнейших инструкций.

Indicators of Compromise

IPv4

  • 109.107.182.11
  • 185.130.251.101

Domains

  • nextcloud.soft-trust.com

URLs

  • https://dveriter.ru/dnsclient.zip

MD5

  • 2386baf319bc550a6468bf62e661ca48
  • 37c0c0b253088c845aad2f36520eaba5
  • 50c8ac460c185f7ea8cec33f876bef02
  • 68155b35a6f149a722ce0349a82edf58
  • 922201bedb77289e17478df2206a40fa
  • 9f250a3163546ee22471390f32d5fed3
  • c10c6c61dd7807641c2ab22584b64bde
  • cb26c5d904b67f3cb3b2537753f8238a
  • e0aa78d9b915ff6cd1eb0bb18c73988e
  • f556f60c9c3877fbf464975ccb58c3f5
Комментарии: 0
Похожие записи
0
2 часа
IOC

TookPS распространяется под видом UltraViewer, AutoCAD и Ableton.

security
Исследование, проведенное в начале марта Kaspersky Lab, описывает несколько вредоносных кампаний, использующих систему DeepSeek LLM в качестве приманки, и раскрывает новые аспекты вредоносной программы TookPS.
0
1 день
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
0
2 дня
Articles

Практические проблемы атрибуции APT в случае с подгруппой Lazarus

security
Lazarus- это название, относящееся не к одной атакующей группе, а к совокупности многих подгрупп. Это название первоначально относилось к деятельности одной группы или группы очень ограниченного размера