Aurora Stealer IOCs

Spyware

С сентября 2022 года вредоносная программа Aurora рекламируется как инфостеллер, и несколько команд трейсеров объявили, что добавили ее в свой набор инструментов вредоносного ПО. Кроме того, SEKOIA.IO отмечает увеличение количества образцов Aurora, распространяемых в дикой природе, а также C2-серверов.

Aurora Stealer

Впервые Aurora была анонсирована на русскоязычных подпольных форумах в апреле 2022 года и представляет собой многоцелевой ботнет с возможностями кражи, загрузки и удаленного доступа. Ботнет продавался как вредоносная программа как услуга (MaaS) субъектом угроз под ником Cheshire.

В июле 2022 года Sekoia выявила около 50 образцов, большинство из которых принадлежали ботнетам "Cheshire" и "Zelizzard", и менее десятка C2-серверов, связанных с ботнетами Aurora. В конце июля серверы Aurora перестали быть активными, а в онлайновом публичном хранилище не было представлено ни одного нового образца Aurora. На тот момент, по оценке SEKOIA.IO, активность ботнетов Aurora была практически остановлена.

Кроме того, предполагаемый разработчик прекратил публикации о ботнете Aurora на форумах Dark Web и на своем Telegram-канале в начале июня 2022 года. Еще одна публикация на форуме BHF в конце июля 2022 года позволила предположить, что чеширские разработчики переключились на разработку вредоносных программ по запросу. Основываясь на этих наблюдениях, Секойя считает возможным, что разработка MaaS ботнета Aurora в настоящее время прекращена.
В конце августа 2022 года на Telegram и подпольных форумах Aurora рекламировалась как кража вместо ботнета.

Indicators of Compromise

IPv4 Port Combinations

  • 138.201.92.44:8081
  • 146.19.24.118:8081
  • 167.235.233.95:9865
  • 185.173.36.94:8081
  • 185.209.22.98:8081
  • 193.233.48.15:9865
  • 37.220.87.2:8081
  • 45.137.65.190:8081
  • 45.144.30.146:8081
  • 45.15.156.115:8081
  • 45.15.156.22:8081
  • 45.15.156.33:8081
  • 45.15.156.80:8081
  • 45.15.156.97:8081
  • 45.15.157.137:8081
  • 49.12.222.119:8081
  • 49.12.97.28:8081
  • 5.9.85.111:8081
  • 65.108.253.85:8081
  • 65.109.25.109:8081
  • 78.153.144.31:8081
  • 79.137.195.171:8081
  • 81.19.140.21:8081
  • 82.115.223.218:8081
  • 85.192.63.114:8081
  • 89.208.104.160:8081
  • 95.214.55.225:8081

Domains

  • alls0ft.cloud
  • allsofts.cloud
  • cheatcloud.info
  • freesoft.digital
  • mividajugosa.com
  • onesoftware.site
  • unisoft.store
  • winsofts.cloud

URLs

  • https://cdn.discordapp.com/attachments/1028937934763720724/1038878571302756372/Adobe_Photoshop_2022_CRACK.rar
  • https://cdn.discordapp.com/attachments/1036677135621951653/1037145460089040916/Adobe_Photoshop.zip
  • https://cdn.discordapp.com/attachments/1036703574828269658/1037132394534281266/Adobe_Premiere_Pro.zip
  • https://cdn.discordapp.com/attachments/1037000444813254768/1042401882041237524/Adobe_Acrobat.zip
  • https://cdn.discordapp.com/attachments/1037343714319794236/1037352224650690650/Adobe_Photoshop.zip
  • https://cdn.discordapp.com/attachments/1041004296050835459/1041454535836696656/onesoftware.site.zip
  • https://cdn.discordapp.com/attachments/1041004296050835459/1041740296993636372/FreeSoft.zip

SHA256

  • 04b2edcc9d62923a37ef620f622528d70edab52ccd340981490046ad3aa255e5
  • 2bdba09d02482f3016df62a205a456fc5e253f5911543bf40da14a59ad2bc566
  • 2e9dbda19d9c75a82dabac8ffba5ea76689ada81639867c41c395a29aeaba788
  • 459a8faa7924a25a15f64c34910324baed5c24d2fe68badd9a4a320628c08cb8
  • 47332ce5b904b959aa814ddfde8662931fdfb5233422dc45053ad04cffc44fb4
  • 4b5450b61a1be5531d43fe36f731c78a28447b85f2466b4389ea7bbb09ecec9c
  • 51a2fe0ea58a7a656bc817e91913f6d6c50e947823b96a3565e7593eea2fd785
  • 73485bc0ca251edcca9e4c279cbc4876b1584fb981a5607a4bdeae156a70d082
  • 88e02def17fda0021d4dba5ea812772c542b0fa6ca8930bcf06c42375c00bd29
  • 8e24e96e1e87cf00e27c3a3745414636fbf6e148077c0f6815a2b87bacf85c8d
  • 9db1744112aea85c625cd046fc737bf28bef254bebfbf7123df6844f62167759
  • a485913f71bbd74bb8a1bdce2e2c5d80c107da7d6c08bf088599c1ee62ccb109
  • a4a3a66aee74f3442961a860b8376d2a2dc2cf3783b0829f6973e63d6d839e5b
  • aa504264669e5bdbda0aac3ada1cd16964499c92d2b48d036a16ba22d79f44f6
  • f6b17c5c0271074fc27c849f46b70e25deafa267a060c35f1636ab08dda237d6
Комментарии: 0