Nitol\Amadey Malware IOCs

malware IOC
Опубликовано

Группа анализа ASEC недавно обнаружила, что один из участников угроз использовал DDoS-бота Nitol для установки Amadey. Amadey - это загрузчик, который находится в обращении с 2018 года, и помимо вымогательства учетных данных пользователей, он также может использоваться для установки дополнительного вредоносного ПО.

В этом году Amadey снова активно распространяется, и еще совсем недавно он распространялся на веб-сайтах, маскируясь под кряки и кейгены для обычного ПО, и устанавливал на зараженные системы другое вредоносное ПО.[1] Кроме того, во второй половине этого года Amadey использовался в атаках с участием LockBit 3.0, направленных на корейских корпоративных пользователей. Amadey распространялся в виде вложений в спам-письма и отвечал за установку LockBit Ransomware.[2]

В ходе мониторинга активно распространяющегося бота Amadey аналитическая группа ASEC обнаружила DDoS-бота Nitol, устанавливающего вредоносное ПО Amadey. Nitol - это DDoS-бот с функцией атаки "отказ в обслуживании" (DDoS), и хотя в последнее время его численность снизилась, это вредоносное ПО стабильно используется в атаках с давних времен. Например, в 2021 году был зафиксирован случай, когда она была загружена в архив корейского форума, заразив многих корейских пользователей.

Вредоносная программа Nitol, установившая Amadey, представляет собой тот же файл, что и вредоносная программа, о которой говорилось в вышеприведенной статье блога. Это говорит нам о том, что даже спустя более года он все еще используется в атаках. Этот файл распространяется через торрент, маскируясь под крэки для Hancom и MS Office, и заражает многих пользователей даже в настоящее время. Ниже перечислены имена путей, где был обнаружен Nitol.

Indicators of Compromise

IPv4 Port Combinations

  • 45.89.255.250:30303
  • 45.89.255.250:40404
  • 45.89.255.250:50505

Domain Port Combinations

  • rlarnjsdud0502.kro.kr:2222
  • gy9.gyddos.com:8889

URLs

  • http://45.89.255.250:8080/AnyDesk.exe
  • http://45.89.255.250:8080/explorer.exe
  • http://45.89.255.250:8080/Kwvwz.png
  • http://45.89.255.250:8080/ServiceManager.exe
  • http://45.89.255.250:8080/TeamViewer_Desktop.exe
  • http://45.89.255.250:8080/TeamViewerSetupx64.exe
  • http://AQWe9sfiWSwPyVMJ.xyz/jg94cVd30f/index.php
  • http://PMVqdJfUf3WlX9kI.xyz/jg94cVd30f/index.php
  • http://SmgqNt3EIxXkSAsU.xyz/jg94cVd30f/index.php

MD5

  • 0c9df67f152a727b0832aa4e7f079a71
  • 3038c7bb0f593df3f52f0644c894c7ba
  • 852011cf885e76c0441dd52fdd280db7
  • d332cf184ac8335d2c3581a48ee0ad87
  • e79b48eefa43aa34f360f68618992236
  • f01b49498b82320973c6006ee117f91e
Похожие записи:
  1. Qakbot Malware IOCs - Part 6
  2. ShadowPad Malware IOCs
  3. LockBit 3.0/Amadey Bot IOCs
  4. Adrozek malware
  5. Aggah malware
Amadey ASEC Malware Nitol
Добавить комментарий