Главная страница » IOC
0
2 месяца
IOC

UAC-0173 APT IOCs

security

CERT-UA обнаружил возобновление деятельности организованной преступной группировки UAC-0173. Эта группировка, действуя по заказу и получая денежное вознаграждение, проводит кибератаки на компьютеры нотариусов с целью изменения государственных реестров. В январе 2025 года было зафиксировано возобновление их активности.

Содержание
  1. UAC-0173 APT
  2. Indicators of Compromise
  3. IPv4
  4. IPv4 Port Combinations
  5. Domains
  6. URLs
  7. Emails
  8. MD5
  9. SHA256

UAC-0173 APT

Одно из таких нападений произошло 11 февраля 2025 года, когда было осуществлено распространение электронных писем, предположительно от имени Министерства юстиции Украины. Эти сообщения содержали ссылки для загрузки вредоносных файлов, запуск которых приводил к заражению компьютеров вредоносной программой DARKCRYSTALRAT (DCRAT). Злоумышленники устанавливали дополнительные инструменты, включая RDPWRAPPER, для получения удаленного доступа к компьютерам нотариусов из сети Интернет.

Группировка также использовала программы для обхода механизмов безопасности, такие как NMAP, FIDDLER и XWORM. Они использовались для перехвата данных аутентификации, сканирования сети и кражи логинов и паролей. Компьютеры, которые уже были скомпрометированы, использовались для отправки вредоносных электронных писем.

Indicators of Compromise

IPv4

  • 193.233.48.166
  • 194.0.234.155
  • 87.120.126.48
  • 89.105.201.98
  • 91.92.246.18

IPv4 Port Combinations

  • 89.105.201.98:11371
  • 89.105.201.98:4443
  • 89.105.201.98:4444
  • 89.105.201.98:591
  • 89.105.201.98:8080
  • 89.105.201.98:8090
  • 89.105.201.98:8888

Domains

  • upnow-prod.ff45e40d1a1c8f7e7de4e976d0c9e555.r2.cloudflarestorage.com

URLs

  • http://193.233.48.166/Downloads/notu.lnk
  • http://91.92.246.18/upl/t1.exe
  • http://91.92.246.18/upl/t2.exe
  • https://87.120.126.48/123.pdf
  • https://87.120.126.48/1pm
  • https://87.120.126.48/not
  • https://87.120.126.48/notUa.exe
  • https://fgf2.i.ua/g/732761.732761.2ea0da.1.9bd7a7d.7/haka3.exe?_gl=1*qetjas*_ga*ntm2mji3ody1lje3mzc2ntq2mte.*_ga_9cz974sn72*mtczotk1mtm2ns42oc4xlje3mzk5ntq0odaundgumc40mdi1mziyody.
  • https://i.ibb.co/30kphkk/tymon-in-coffee-final.webp
  • https://i.ibb.co/bjwmy9b/trump-kids-bussiness.webp
  • https://upnow-prod.ff45e40d1a1c8f7e7de4e976d0c9e555.r2.cloudflarestorage.com/fnwimqzwkbgtpmknfy9oi9pg4kr2/aac53353-f72b-4a8f-a166-31423b58d71a?x-amz-algorithm=aws4-hmac-sha256&x-amz-credential=cdd12e35bbd220303957dc5603a4cc8e/20250211/auto/s3/aws4_request&x-amz-date=20250211t090214z&x-amz-expires=43200&x-amz-signature=daf11c3d1f9a2b5070810c02afffbc0d582209b515b06e408adf71e0413dc4aa&x-amz-signedheaders=host&response-content-disposition=attachment;

Emails

MD5

  • 0114a9a6d4f3d83f08856f350975b72a
  • 1381747b16aacc56e27731dd1a2686f6
  • 196f82767ac4cf6fefd85fee23c31de8
  • 1a4846cdb6877fda57c56f6103137215
  • 1c4eefd3d642da2ee635594d71cb1c63
  • 29ca1c35075247b035af75c11cab78f1
  • 2bcb9aa0b04299c1c902f5f2ff4034f7
  • 2d549385c720128297bc3b78c68722c0
  • 3288c284561055044c489567fd630ac2
  • 461ade40b800ae80a40985594e1ac236
  • 539d8bf192341c87f345790f3c2887b8
  • 590dd6a8db9d0a1bcc3f31010bf30d38
  • 5dd4e2111931c62c4093aa49f4934b9a
  • 67b7558e2e6a5bc282ffb1719cc524ed
  • 6feef1bbd4205bad2037fe8c21605824
  • 76a38859d52c85f29a4410db59fb3900
  • 8303353341430cba8e28dc6de8680772
  • 880a54b81a01acaa580964209f1cbf88
  • 880ef1d1c557cba8e1653383d12d412a
  • 89b5837e2772041a6ed63e78c08426d4
  • 9e2ba44d6e9fc3993cd2a1bc6ffbb7ea
  • a1c5bbcec35a494aca94aeea964d7856
  • a6b692e0ed3d5cd6fd20820dd06608ac
  • ad1a6d8a4bc4f5e36eb789374be6f351
  • b98dc1d3907a29896233f92a1f91cc15
  • cbad5b2ca73917006791882274f769e8
  • cd53f35297016fe68fa60ddaa57402ac
  • dcc5ef6b80f94b1d9c0e0429fcda73a3
  • e9cedc98677b6b5146b14009ced7d624
  • fb2c79eb2f045b0fab30e6b493f4fe8c

SHA256

  • 022364ee1fce61c8a867216c79f223bf47692cd648e3fd6b244fc615b86e4c58
  • 0bf2cfdcfd825b02e59a230f51a36cbe2e39f473ad87746bb9038191eb8112c4
  • 1dd4acdd9616469545afb31d3673e78565fdb29611426285d88138aeb81f905f
  • 2030e37e7abfd5d6d25f570c221bbc0fc00bfc7f4647462fdc121b558e01417e
  • 20e9ad367dd61cf76d9aa1bd6993cf2c6a289b433d44fb445b0fb6d8a634fd03
  • 256bf164fbfd8bf52c47f08c73492854601a8579b642d72f7b9facae1f7e1d35
  • 353f2dc17a4e80564caa175f7170dbedc1b40f704444520ae671f78a5d1f2b6d
  • 35db3d73f8a56bfef47acb65ccc8a6a647fd383a03e618a2ffa05be75a7a418c
  • 3788802d0823e330707ee80bb96ef29e89af93d95fd9ef822948d06c31398d39
  • 3e0628c33fb6abb952571c873e2627c746d797580cd6418c8015c581b89a0051
  • 4b9740cfff070286e01785d9b1492c1b66246cadc851fbd5c1fe485977287459
  • 65ed24335a34fe670daa098a15d507633a6c765f0974bf80dab828a278d59a59
  • 69f11f28b67cda8daa3d3ae4a34abe0ddcb7da97e710dfb55d6cff7280eb3880
  • 6f37d60bd918ae4733abeffa98457409e838697c09c23fcf11e42736775a96b3
  • 6f888cf4cb68afa200ef74dde20b1354487ef20d11b72b897646048a12c3e62d
  • 7120b8beef9967442ab23dd5b7d7d7c27b6b99a4ce1010cc8a4b7c92c7ef9cdb
  • 798af20db39280f90a1d35f2ac2c1d62124d1f5218a2a0fa29d87a13340bd3e4
  • 884e86732f0c0ccb7d802a4fd6f08d707fbd053a2e7ffd99934f730f8851a36a
  • 8d4f01ab275d51d02ab864fb5c449e23b799a60b6a12ceec9a7f7c7e46e383b5
  • 8ee10f65476a211ee82a7e06319bc48af7061fcc847753d551e963b4df1ac89f
  • 8f8187d425384e17cdcec48dac499775247c5174264ff21461020dad1d94ac7c
  • a2b5c2990a64b16f5a6c4d612dc2519ad9c0262e0f9bdf3f9409278af4bcce66
  • ac92d4c6397eb4451095949ac485ef4ec38501d7bb6f475419529ae67e297753
  • afec811864ccca244a9eda1591185ca8bf8060f62c098e13231463d76f5d9afc
  • c8c475ff518943b3b807b10e29b6bd5c644ac1408f7f320082be6fe5a8b1d1ef
  • d6fe0aea4b4cc5f3217cd81d73b1b04e94bf7e74f50f4ae50819699205104fe7
  • ed8754074b43da6604dc98dab26794334a84538136fa013897cb19f3aa9db04c
  • f5ab745071556175c327408c4d898e082ae93544045200083cd42f50f28ee797
  • f9d5f5b0b924a4ba903fdef291bfe8eae7e7f18d048a6d3222385d442244df38
  • faf84596ee6e19058e6ae60b5c54fb587358ab8069b21c64d82393748910b46c
Комментарии: 0
Похожие записи
0
2 часа
IOC

APT-кампания Earth Kurma нацелена на правительственный и телекоммуникационный секторы Юго-Восточной Азии

security
APT-группа Earth Kurma, активная в Юго-Восточной Азии, атакует правительственные и телекоммуникационные организации с использованием вредоносных программ, руткитов и облачных сервисов.
0
3 дня
IOC

Shedding Zmiy использовал руткит Puma для атаки на IT-компанию

security
В ноябре 2024 года специалисты Solar 4RAYS были вызваны для расследования инцидента в одной из IT-компаний. В ходе расследования выяснилось, что на связь выходили известные C2, принадлежащие группе Shedding Zmiy.
0
3 дня
IOC

Российские организации под прицелом: фишинговые письма с вредоносным ПО DarkWatchman RAT

security
Компания Solar 4RAYS, центр исследования киберугроз, выявила новую волну фишинговых атак в России с использованием вредоносной программы DarkWatchman RAT. Атаки, начавшиеся в середине февраля, продолжаются в течение марта.