Vermin APT IOCs - II

CERT-UA получена информация о распространении электронных писем с тематикой военнопленных, содержащих ссылку для загрузки архива «spysok_kursk.zip».

Vermin APT

Упомянутый архив содержит CHM-файл «список вп, що вибувають. курск.chm», в котором, среди прочего, находится HTML-файл «part.html», содержащий JavaScrip-код, который, в свою очередь, обеспечивает запуск обфускованного PowerShell-сценария.

PowerShell-код предназначен для загрузки на ЭВМ компонентов вредоносной программы SPECTR (осуществляет похищение документов, снимков экрана, данных Интернет-браузеров и др.) и новой программы FIRMACHAGENT («chrome_updater.dll»; основной задачей которой является выгрузка похищенных данных на сервер управления), а также создание запланированных задач для запуска оркестратора «IDCLIPNET_x86.dll» (управляет плагинами SPECTR) и FIRMACHAGENT.

Indicators of Compromise

IPv4

• 171.22.120.50
• 91.225.219.185

Domains

• prozorro.online
• ukraero.space

URLs

• http://171.22.120.50/data/Browser.txt
• http://171.22.120.50/data/chrome_updater.txt
• http://171.22.120.50/data/Files.txt
• http://171.22.120.50/data/IDCLIPNET_x86.txt
• http://171.22.120.50/data/Screen.txt
• http://171.22.120.50/data/Social.txt
• http://171.22.120.50/data/USB.txt
• http://prozorro.online/info/docx/recon
• https://prozorro.online/data/spysok_kursk.zip
• https://ukraero.space/jobs/download
• https://ukraero.space/jobs/upload

Emails

• [email protected]

MD5

• 2972616c870bffdb1978b487df290dfe
• 4dd66548c1022822cf8247ca615ceea9
• 522c2988dd63e162503c41dc87d631f6
• 580a05ffdb0f3d5d703ccb2bcf04f9b7
• 65e5f73193f87e233244479859a00fd1
• 7d439f13a55f082fd674875f898197d7
• 7dc1016e78f8c243b3b0fa59eb648567
• a3c977578212134897a864795e769a8d
• a9261e37a5a2fadbf58c71f15f48ad18
• a973224da0ebfca023ab3e55913447a9
• b58e45c4707b88dc1e89fd58359bfd5b
• b99d5bfcdf9535f094204137ab064c96
• d657fa0c86523d0376cc0c988c6c9e11
• e2c25142f08cd8f9c6f87266c7ffb829
• e5b69e06a2452914250e34be1de4ae6a
• ef123bc71a5f0e323b6a5c809d17d048
• f6b21151b924a31b936d3b299c0129b7
• f8efa529dff81b0e02a786fc766ffca3

SHA256

• 087158ad28080ef438047b88896dfa1962d1cd6fed8fce06e35c25f91ad5f1ff
• 180f9a2d3de0b5f031408797286837bb4b10b2a6d8797cf985347f5d80f9e4a0
• 21c33c8365218b7fb1bbb0d45af77926877fb33384ef58fbbb6db04b9df55eb6
• 3e6c13f9e4cee9b8d55d7a83fd3c3d5d6d09b6c477c4f84fd79db6cc8de7ea42
• 4d8918cfcc97ca63666937e5d53373793f3695a2b1177e27a78aa34303c2ee80
• 68fe595237eec1261184a5f3a00cc0f678a33751615796942001997575887557
• 6a18392e3e062ce0fcd4688c0b09e482855cf709eb178437d8fe2cdc9cfdf51f
• 8612668466f9c8a180e0e9a3c92c85a03788f2f0bb3c6bf70f52c356e02702db
• 8987952745a8d46a8f2e6d1666cc9c542b6a9a96787ef467c76b779a8b6c1a66
• 8d4808ed167ac91724e8ab4da24bcc3bd2159a4972c212a1cd4062f02a3731d0
• ad30e29ba883c3f528d2782dbc3d1b5258815b619c6dfc3639fee416cf27fb1f
• b95ef984bfb22c55881931b134deaf1b848fbfda4180fc393b9f532f51089cbb
• d16239cfbee14a8621637934aebe2d5253fea04940d2eb082bd8dcdc41111d4b
• d44ff1bd3c7ff81228548c82ea68c33bdea780772ce55dc4be2d4156985a326a
• ea1945d887cbe8a56234cec6da2c46ed7a28ae6a69fd49181b3d13a71943ffd9
• eef9f73dc7e0cdd4b1780ecd20845496a91e0f1c096264208d991935c5e97308
• f00c85d9db7a2a2bf248771b8d81d978fa6d2153e6a3095d9c5896b604e9d00d
• f94b8d2391b53dfb96035a2ba628224c3bfedf77021c896b64a0d7c8f2121e17