Magniber Ransomware IOCs - Part 5

ransomware IOC

7 ноября аналитическая группа ASEC представила в своем блоге сообщение о программе Magniber ransomware, которая пыталась обойти MOTW (Mark of the Web). После этого, используя данные, оставленные в Zone.Identifier, мы провели расследование источников, использованных для распространения Magniber.

При использовании метода typosquatting - который использует опечатки - когда пользователь заходит на неправильно введенный домен, msi файл (Magniber) загружается после перенаправления на рекламную страницу. Изучение Zone.Identifier, созданного на этом этапе, показывает URL-адрес, с которого был загружен файл.

Исследуя домены и IP-адреса,  ASEC определили, что в октябре и ноябре использовалось около 215 IP-адресов и 511 доменов.

Поскольку в распространении ransomware используется широкий спектр доменов, они регистрируются и используются через многочисленные компании по регистрации доменов. Характер IP-адресов и доменов оставляет возможность того, что другие обычные пользователи могут получить эти ресурсы и использовать их, и в этом случае они могут подать отчет в центр обслуживания клиентов AhnLab для принятия соответствующих мер.

Magniber Ransomware IOCs

Indicators of Compromise

IPv4

  • 192.161.184.100
  • 192.161.184.110
  • 192.161.184.121
  • 192.161.184.122
  • 192.161.184.86
  • 209.94.59.32
  • 45.82.86.103
  • 45.82.86.107
  • 45.82.86.93
  • 45.82.86.97
  • 45.82.87.54

Domains

  • askills.quest
  • betdate.uno
  • csmoved.space
  • dofight.monster
  • halldie.fit
  • hidwant.quest
  • logharm.space
  • longate.monster
  • lossend.casa
  • losthow.monster
  • lowroll.uno
  • owered.space
  • perwish.email
  • putdear.email
  • spitecs.com
SEC-1275-1
Добавить комментарий