SecuriXy.kz
9.29K subscribers
483 photos
22 videos
18 files
393 links
Все самое интересное из мира информ. безопасности и IT 👍🏻
Обсуждаем, делимся, умнеем
https://securixy.kz

Обратная связь - @feedback_securixy_bot

Хахатушки - @memekatz
Hack the Box RUS - @HTB_RUS
Download Telegram
Очередная атака на казнет, фишинговая рассылка нацеленная на бухгалтеров компаний (Юр/Физ лиц)

Мы получили 2 сэмпла таких рассылок. В каждом из них разные ссылки:
hXXps://oneindia[.]info/wjzq

hXXps://jretail[.]co[.]uk/xt9v


Но целевая ссылка у них одна:

hXXps://egov-kz[.]online/132843268324/7234632478/egovnotifications/uvedomleniya/8723747899/January/2024-1/bughalteram-po-nalogam/notice/SalykFormJavaDocument.pdf


Это PDF документ со ссылкой на SalykFormJava - STRRAT Java-based RAT
В песочнице Any.RUN - есть отдельная страница по IOC данного ратника
На момент рассылки данный ратник не детектился большинством АВПО 1 2 - сейчас 21 и 26 детект из 61 для двух полученных сэмплов.
Так же стоит отметить, что сама фишинговая компания сделана очень продуманно, на нее могут купиться люди, будьте бдительны...

IOC:

dualstack.sonatype.map.fastly.net
199.232.192.209

https://egov-kz.online/132843268324/7234632478/egovnotifications/uvedomleniya/8723747899/January/2024-1/bughalteram-po-nalogam/notice/SalykFormJavaRU.jar

https://egov-kz.online/132843268324/7234632478/egovnotifications/uvedomleniya/8723747899/January/2024-1/bughalteram-po-nalogam/notice/SalykFormJavaKZ.jar

https://github.com/kristian/system-hook/releases/download/3.5/system-hook-3.5-jar

MD5: 14c6e272eb3038aa41a57f5c81fd9fb3
4a3d3f1ffcd92d8cbcc1a608901d3d2e

SHA256: ee113a592431014f44547b144934a470a1f7ab4abec70ba1052a4feb3d15d5c6 25C622E702B68FD561DB1AEC392AC01742E757724DD5276B348C11B6C5E23E59


#strrat #phishing
Новый фишинг #phishing на граждан Казахстана.

IOC:

aisoipkz.online

https://aisoipkz.online/c93404437a10848c/cpsess1068036485/KtbxLrjdwlfDpRWdJMfLVhZSzsFsMnMMKL/debtors/documents-check/programma-proverki-zadoljennosti/java-prilozhenie/NCALayer-1.2.2-ADILETGOV.jar

Penalty_Year_212.pdf -SHA256: 13e60dc4df904d92f81a58811a003903fced5a65846542877ee9791e62951cfa

NCALayer-1.2.2-ADILETGOV.jar - SHA256: 8deb8ee811cbb3c186183950491c5c38da704b304057cdeaaf81b91e4f6e8a7e

NCALayerServer.jar - SHA256: d1b67ec03fa5c71df2f2f90263bd69a9626cba5922c9acfb7ca2af73c8db614c



"C:\Program Files\Java\jre1.8.0_271\bin\javaw.exe" -jar C:\Users\admin\AppData\Local\Temp\NCALayerServer.jar

C:\WINDOWS\system32\icacls.exe C:\ProgramData\Oracle\Java\.oracle_jre_usage /grant "everyone":(OI)(CI)M

C:\Windows\SYSTEM32\cmd.exe
cmd /c schtasks /create /sc minute /mo 30 /tn Skype /tr "C:\Users\Admin\AppData\Roaming\NCALayerServer.jar"


Family: https://tria.ge/s/family:strrat C2 (Trojan stealer)