Очередная атака на казнет, фишинговая рассылка нацеленная на бухгалтеров компаний (Юр/Физ лиц)
Мы получили 2 сэмпла таких рассылок. В каждом из них разные ссылки:
Но целевая ссылка у них одна:
Это PDF документ со ссылкой на SalykFormJava - STRRAT Java-based RAT
В песочнице Any.RUN - есть отдельная страница по IOC данного ратника
На момент рассылки данный ратник не детектился большинством АВПО 1 2 - сейчас 21 и 26 детект из 61 для двух полученных сэмплов.
Так же стоит отметить, что сама фишинговая компания сделана очень продуманно, на нее могут купиться люди, будьте бдительны...
IOC:
#strrat #phishing
Мы получили 2 сэмпла таких рассылок. В каждом из них разные ссылки:
hXXps://oneindia[.]info/wjzq
hXXps://jretail[.]co[.]uk/xt9v
Но целевая ссылка у них одна:
hXXps://egov-kz[.]online/132843268324/7234632478/egovnotifications/uvedomleniya/8723747899/January/2024-1/bughalteram-po-nalogam/notice/SalykFormJavaDocument.pdf
Это PDF документ со ссылкой на SalykFormJava - STRRAT Java-based RAT
В песочнице Any.RUN - есть отдельная страница по IOC данного ратника
На момент рассылки данный ратник не детектился большинством АВПО 1 2 - сейчас 21 и 26 детект из 61 для двух полученных сэмплов.
Так же стоит отметить, что сама фишинговая компания сделана очень продуманно, на нее могут купиться люди, будьте бдительны...
IOC:
dualstack.sonatype.map.fastly.net
199.232.192.209
https://egov-kz.online/132843268324/7234632478/egovnotifications/uvedomleniya/8723747899/January/2024-1/bughalteram-po-nalogam/notice/SalykFormJavaRU.jar
https://egov-kz.online/132843268324/7234632478/egovnotifications/uvedomleniya/8723747899/January/2024-1/bughalteram-po-nalogam/notice/SalykFormJavaKZ.jar
https://github.com/kristian/system-hook/releases/download/3.5/system-hook-3.5-jar
MD5: 14c6e272eb3038aa41a57f5c81fd9fb3
4a3d3f1ffcd92d8cbcc1a608901d3d2e
SHA256: ee113a592431014f44547b144934a470a1f7ab4abec70ba1052a4feb3d15d5c6 25C622E702B68FD561DB1AEC392AC01742E757724DD5276B348C11B6C5E23E59
#strrat #phishing
Новый фишинг #phishing на граждан Казахстана.
IOC:
Family: https://tria.ge/s/family:strrat C2 (Trojan stealer)
IOC:
aisoipkz.online
https://aisoipkz.online/c93404437a10848c/cpsess1068036485/KtbxLrjdwlfDpRWdJMfLVhZSzsFsMnMMKL/debtors/documents-check/programma-proverki-zadoljennosti/java-prilozhenie/NCALayer-1.2.2-ADILETGOV.jar
Penalty_Year_212.pdf -SHA256: 13e60dc4df904d92f81a58811a003903fced5a65846542877ee9791e62951cfa
NCALayer-1.2.2-ADILETGOV.jar - SHA256: 8deb8ee811cbb3c186183950491c5c38da704b304057cdeaaf81b91e4f6e8a7e
NCALayerServer.jar - SHA256: d1b67ec03fa5c71df2f2f90263bd69a9626cba5922c9acfb7ca2af73c8db614c
"C:\Program Files\Java\jre1.8.0_271\bin\javaw.exe" -jar C:\Users\admin\AppData\Local\Temp\NCALayerServer.jar
C:\WINDOWS\system32\icacls.exe C:\ProgramData\Oracle\Java\.oracle_jre_usage /grant "everyone":(OI)(CI)M
C:\Windows\SYSTEM32\cmd.exe
cmd /c schtasks /create /sc minute /mo 30 /tn Skype /tr "C:\Users\Admin\AppData\Roaming\NCALayerServer.jar"
Family: https://tria.ge/s/family:strrat C2 (Trojan stealer)