Emotet Botnet IOCs - Part 18

botnet IOC

Обнаруженное FortiGuard Labs электронное письмо было, что неудивительно, вредоносным. Но интересным было то, что оно было отправлено недавно возрожденной группой Emotet. Emotet (он же Geodo и Heodo) начинал свою жизнь как банковский троянец, но с тех пор превратился в универсальный инструмент, который может использовать несколько уязвимостей для компрометации своих жертв. После заражения системы он, как правило, передает дополнительные полезные нагрузки. А поскольку он модульный, то легко настраивается пользователями. Эта гибкость и устойчивость - часть причины, по которой Emotet удалось пережить, по крайней мере, одно скоординированное уничтожение со стороны промышленности и правоохранительных органов в 2021 году.

Несмотря на то, что это фишинговое письмо было отправлено с "IRS.gov", оно пришло со взломанного аккаунта электронной почты организации в Пакистане. В теме и теле письма утверждается, что формы IRS K-1 получателя вложены в архив Zip, зашифрованный паролем "0440".

Форма К-1 - это федеральный налоговый документ США, который отражает доходы, убытки и дивиденды партнеров коммерческой или финансовой организации или акционеров корпорации S для налоговой службы. Поскольку содержание этих форм должно быть добавлено к годовой налоговой форме физического лица, они должны быть представлены за месяц (15 марта) до крайнего срока подачи индивидуального подоходного налога - 15 апреля. Вот почему получение формы Schedule K-1, прикрепленной к электронному письму 8 ноября, стало тревожным сигналом.

Призрак налоговой службы - не новая фишинговая приманка, особенно в налоговый сезон. Даже если налоговая служба никогда не будет инициировать контакт с налогоплательщиками по электронной почте, мало что побуждает получателей действовать (и, как следствие, быть менее осторожными), чем мысль о том, что налоговая служба связалась с ними. Эта угроза особенно интересна тем, что она была получена за пределами обычных временных рамок для фишинга, связанного с налоговыми платежами. Это также предупреждение о том, что при получении необычного письма, подобного этому, лучше отнестись к нему с осторожностью, поскольку Emotet и другие подобные угрозы надеются, что страх заставит отказаться от осторожности.

Indicators of Compromise

IPv4 Port Combinations

  • 1.234.2.232:8080
  • 103.43.75.120:443
  • 107.170.39.149:8080
  • 110.232.117.186:8080
  • 119.59.103.152:8080
  • 129.232.188.93:443
  • 139.59.126.41:443
  • 139.59.56.73:8080
  • 149.28.143.92:443
  • 159.89.202.34:443
  • 164.68.99.3:8080
  • 169.60.181.70:8080
  • 172.105.226.75:8080
  • 183.111.227.137:8080
  • 186.194.240.217:443
  • 188.44.20.25:443
  • 206.189.28.199:8080
  • 209.97.163.214:443
  • 45.235.8.30:8080
  • 94.23.45.86:4143

URLs

  • http://cngst.com/data/fXWpDbJ3KwAybE/
  • http://kabaruntukrakyat.com/wp-content/ES/
  • http://www.spinbalence.com/admin3693/Z6WQpmNRNj6041fU2zpt/
  • https://chobemaster.com/INFECTED/LEdXM4gdwN4mgnlC/

SHA256

  • 8c3cfdd7e1e162129eedf2c3d9f6f63c133622bfe5d04bccbd823486a85b69ed
  • 9efdbe83c874a14282b0105fcec8dc46d9ba1de6496f5d570fa14915b8fd3285
  • be2bb6f684cd23a66667a563a78ebfa43de4bb958dc0465a830229a9b927b714
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий