Emotet Botnet IOC

botnet IOC

Emotet может загружать 16 дополнительных модуле, используемых Emotet для кражи учетных данных/паролей/аккаунтов/электронной почты и рассылки спама.

Модули Emotet

Модуль Mail PassView

Модуль содержит встроенный исполняемый файл под названием Mail PassView от Nir Sofer, инструмент для восстановления паролей, который позволяет узнать пароли и данные учетных записей для различных почтовых клиентов. Чтобы запустить инструмент для восстановления пароля, выполните действия, которые позволяют узнать пароли и данные учетных записей для различных почтовых клиентов.

Модуль WebBrowser PassView

Этот модуль в основном такой же, как и предыдущий, за исключением того, что в нем используется инструмент для восстановления паролей WebBrowser PassView Nir Sofer для раскрытия паролей и данных учетных записей в браузерах.

Модуль Outlook Address Grabber

Модуль эксфильтрации данных для Outlook. Модуль использует интерфейс Outlook Messaging API, итеративно просматривает профили Outlook и извлекает все отображаемые имена и почтовые адреса из каждого найденного письма. Затем он отправляет собранные почтовые адреса в C2.

Модуль Outlook E-mails Grabber

Модуль эксфильтрации данных для Outlook. Модуль использует интерфейс Outlook Messaging API, итеративно просматривает все личные папки (Inbox, Sent items, Deleted Items и т.д.), извлекает все отображаемые имена и почтовые адреса отправителя и получателя, а также извлекает тему и тело письма. Затем он отправляет собранные электронные письма на C2.

Модуль Thunderbird Address Grabber

Модуль эксфильтрации данных для Thunderbird. Модуль просматривает профили Thunderbird, расположенные в %AppData%\Roaming\Thunderbird\Profiles\, анализирует файлы данных Thunderbird и извлекает отображаемые имена и почтовые адреса. Затем он отправляет собранные адреса электронной почты в C2.

Модуль Thunderbird E-mails Grabber

Модуль эксфильтрации данных для Thunderbird. Модуль перебирает профили Thunderbird, расположенные в %AppData%\Roaming\Thunderbird\Profiles\, анализирует файлы данных Thunderbird и извлекает отображаемые имена и почтовые адреса отправителя и получателя, а также извлекает тему и тело письма. Затем он отправляет собранные сообщения электронной почты на C2.

Модуль рассылки спама

Этот модуль отвечает за рассылку спама. Он запрашивает C2 до тех пор, пока не получит ответ с заданием на рассылку спама.

Модуль UPnP

Вспомогательный модуль для проверки возможности подключения к зараженной системе извне.

Indicators of Compromise

IPv4 and port

  • 70.36.102.35:443
  • 197.242.150.244:8080
  • 188.44.20.25:443
  • 45.118.135.203:7080
  • 92.240.254.110:8080
  • 103.43.46.182:443
  • 1.234.2.232:8080
  • 50.116.54.215:443
  • 51.91.76.89:8080
  • 206.188.212.92:8080
  • 153.126.146.25:7080
  • 178.79.147.66:8080
  • 217.182.25.250:8080
  • 196.218.30.83:443
  • 51.91.7.5:8080
  • 72.15.201.15:8080
  • 119.193.124.41:7080
  • 5.9.116.246:8080
  • 151.106.112.196:8080
  • 101.50.0.91:8080
  • 45.142.114.231:8080
  • 185.157.82.211:8080
  • 46.55.222.11:443
  • 103.75.201.2:443
  • 176.56.128.118:443
  • 176.104.106.96:8080
  • 107.182.225.142:8080
  • 31.24.158.56:8080
  • 51.254.140.238:7080
  • 159.65.88.10:8080
  • 82.165.152.127:8080
  • 146.59.226.45:443
  • 173.212.193.249:8080
  • 212.24.98.99:8080
  • 212.237.17.99:8080
  • 110.232.117.186:8080
  • 131.100.24.231:80
  • 209.250.246.206:443
  • 195.201.151.129:8080
  • 138.185.72.26:8080
SEC-1275-1
Добавить комментарий