Главная страница » IOC
0
7 месяцев
IOC

Unicorn Trojan IOCs

remote access Trojan

В начале сентября была обнаружена новая атака вредоносного ПО, направленная на российские энергетические компании, заводы, поставщиков и разработчиков электронных компонентов. В отличие от типичных атак, когда вредоносное ПО самоудаляется после кражи информации, эта вредоносная программа остается активной. Она распространяется через вложения в электронные письма или файлы на Яндекс Диске, ссылки на которые содержатся в письмах. Вложенный файл представляет собой RAR-архив, содержащий файл PDF + LNK.

Unicorn APT IOCs

Вредоносный ярлык в архиве запускает приложение mshta, которое загружает и исполняет файл HTML-приложения (HTA). Для маскировки своей деятельности URL-адрес вредоносного HTA-файла маскируется под PDF. При запуске HTA-файла выполняется VBS-сценарий, который создает на диске два скрипта под названием «update.vbs» и «upgrade.vbs». Эти скрипты настраиваются на автозапуск в реестре, а также создают задачи в планировщике заданий для периодического запуска тех же скриптов.

Кроме того, вредоносная программа создает несколько ключей реестра с зашифрованным VBS-кодом в ветке HKCU\Software\ReaItek\Audio\. Сценарии на диске считывают значения этих ключей, расшифровывают их и выполняют. Скрипт «update.vbs» создает папку в каталоге профиля пользователя и копирует в нее файлы с определенными расширениями и размерами. Он также копирует содержимое папки Telegram Desktop. Файл «iids.txt» используется для отслеживания скопированных файлов и дат их модификации.

Скрипт «upgrade.vbs» использует расшифрованный код из реестра для отправки скопированных файлов на сервер злоумышленника. Чтобы избежать дублирования файлов, скрипт сверяется с информацией в файле «oids.txt». Оба скрипта остаются в системе после кражи данных и продолжают копировать и загружать новые и измененные файлы при перезагрузке системы.

На данный момент связь между этими атаками и какими-либо конкретными известными группами не установлена. Лаборатория Касперского обозначила эти скрипты как Trojan-Spy.VBS.Unicorn и продолжает следить за ситуацией.

Indicators of Compromise

URLs

  • https://disk.yandex.ru/mail/?hash=oqoGf1j2vbrASZYu0gtMPqx0HHTsqzdNl0HMDCzMudmtOU3mlPv/UFBhApL+Y7CVRAX03HPYQxcN+1YRYcCtZw==
  • https://support.petition-change.org/unicorn
  • https://yadi.sk/mail/?hash=oqoGf1j2vbrASZYu0gtMPqx0HHTsqzdNl0HMDCzMudmtOU3mlPv/UFBhApL+Y7CVRAX03HPYQxcN+1YRYcCtZw==
  • https://yandex-drive.petition-change.org/file_preview/commecrial_list.pdf

MD5

  • 54562bd71d5e0d025297b25d4cacb384
  • 625d30bf6f54d47611f23c514c1dd4d6
  • 8009657da8b46f851ff8e833169d839d
  • 86b4781b1ad041a3696df2efb269718f
  • c9a941a305f68d726b1e49b965b5812d
Комментарии: 0
Похожие записи
0
7 дней
IOC

Mamont Trojan IOCs - Part 2

remote access Trojan
Недавно СМИ сообщили об аресте подозреваемых в распространении вредоносного приложения для Android, известного как Mamont. Это приложение использовалось в фишинговой кампании, в ходе которой пользователи
0
10 дней
IOC

APT-группа ToddyCat использует уязвимость в ESET для проксирования DLL-файлов

security
Группы APT используют различные методы обхода защитных систем, чтобы скрыть свою деятельность в зараженных системах. Одним из таких методов является использование руткитов на уровне ядра в системах Windows.
0
15 дней
IOC

TookPS распространяется под видом UltraViewer, AutoCAD и Ableton.

security
Исследование, проведенное в начале марта Kaspersky Lab, описывает несколько вредоносных кампаний, использующих систему DeepSeek LLM в качестве приманки, и раскрывает новые аспекты вредоносной программы TookPS.