Trickbot Botnet IOCs

botnet IOC
Опубликовано

Исследователь компании Avast Мартин Хрон опубликовал статью о компрометации и последующем использовании маршрутизаторов Mikrotik в рамках схемы "ботнет как услуга". По словам Хрона, этот ботнет использовался для нескольких вредоносных кампаний с 2018 года. Он также рассказывает об использовании Trickbot взломанных маршрутизаторов Mikrotik и других сетевых устройств в качестве обратных прокси-серверов для командных и управляющих серверов Trickbot. Хрон не уточняет, использовала ли Trickbot предполагаемую бот-сеть как услугу, или они получили доступ к маршрутизаторам отдельно.

Trickbot

Вероятно, все началось еще в 2018 году,когда латвийская компания MikroTik публично объявила, что исправила и выпустила обновление для своих очень известных и широко используемых маршрутизаторов, исправляющее уязвимость CVE-2018-14847. Эта уязвимость позволяла любому человеку буквально загрузить базу данных пользователей и легко декодировать пароли с устройства удаленно, используя всего несколько пакетов через открытый административный протокол TCP-порт 8291. Планка была достаточно низкой для того, чтобы любой мог воспользоваться ею, и никакая сила не смогла бы подтолкнуть пользователей к обновлению прошивки. Поэтому результат был ожидаемым: Киберпреступники начали использовать эту возможность.

Indicators of Compromise

IPv4

  • 45.121.237.196
  • 98.142.187.233
  • 31.14.40.116
  • 45.89.125.253
  • 185.94.172.15
  • 185.10.68.16
  • 102.164.208.44
  • 5.181.83.203
  • 71.42.188.85
  • 31.14.40.207
  • 179.42.137.111
  • 186.225.119.170
  • 185.244.150.26
  • 190.151.10.114
  • 109.196.148.123
  • 195.123.212.17
  • 31.14.40.173
  • 88.119.170.242
  • 136.228.131.236
  • 103.145.13.31
  • 96.9.77.56
  • 188.137.76.235
  • 216.166.148.187
  • 45.5.152.39
  • 36.89.191.119
  • 170.130.55.84
  • 200.5.37.81
  • 96.88.45.25
  • 178.254.161.250
  • 192.162.238.186
  • 45.11.183.152
  • 185.212.170.250
  • 103.124.145.98
  • 97.83.40.67
  • 23.106.124.76
  • 122.2.28.70
  • 91.237.161.87
  • 31.14.40.107
  • 77.247.110.57
  • 116.202.93.14
  • 155.12.12.50
  • 181.224.251.4
  • 38.110.103.43
  • 38.110.100.242

Domains

  • ciskotik.com
  • motinkon.co
  • bestony.club
  • massgames.space
  • widechanges.best
  • weirdgames.info
  • globalmoby.xyz
  • specialword.xyz
  • portgame.website
  • strtz.site
  • myfrance.xyz
  • routers.rip
  • tik.anyget.ru

SSL Certificate SHA-1

  • 03f95249c0e2629bbf521c0d34cee92549fb7ecc
  • 3e447bdb51573cac4024bbb8b60986b8e2b396df
  • 50fdfd4e2c57eaf7c9cd3f614aa240011bb8df02
  • a0ddbc13ab3eb1d5219d9b539dd607fbe596d140
  • b521a816d597b167f660a5cb202776ec3c9d3b02
  • bea4d7912b9b26a92343eb865c614365b257a5d1
  • e7743fc4a488dd9bb24ffc381daea9a54bc7d1da

SHA256

  • a0b07c09e5785098e6b660f93097f931a60b710e1cf16ac554f10476084bffcb
Похожие записи:
  1. TrickBot Botnet IOCs - Part 2
  2. MSIL/Bobik Botnet IOCs
  3. Trickbot Botnet IOCs - Part 3
  4. Cyclops Blink Botnet IOC
  5. Operation Dragon Castling IOC
Avast Botnet Trickbot
Добавить комментарий