Raspberry Robin IOCs - Part 7

security IOC

Группа реагирования на инциденты Security Joes узнала, что хакерские группы используют новую версию Raspberry Robin для атак на финансовые институты в Европе.
В последней версии механизм защиты от вредоносного ПО был усовершенствован, чтобы развернуть как минимум пять уровней защиты до развертывания вредоносного кода, включая упаковщик первого этапа, скрывающий код следующих этапов атаки, за которым следует загрузчик шеллкода.


Следующие три уровня включают DLL-загрузчик второго этапа, промежуточный шеллкод и, наконец, загрузчик шеллкода. Эта сложная структура делает червя более трудным для обнаружения и одновременно облегчает латеральное перемещение по сетям. Исследование также показало, что операторы Raspberry Robin начали собирать больше данных о своих жертвах, чем сообщалось ранее.

Raspberry Robin IOCs

Indicators of Compromise

IPv4

  • 85.56.236.45

IPv4 Port Combinations

  • 85.56.236.45:8080

SHA256

  • 21122891977d9296eea86a8a292b2ba7677766a2085566a6e93ecf60f0ac6ee5
  • 9c9426776b62a4461b7a9237a971fb3c5fc3222acd303506a763aa1d314a1573
  • ac7d57c011c1bf1b3158a64d4c91e1d5c54e8d05cdeb9d1fadcbb0c4d5103428
  • b11805162d3ae3d3c6635c240d004d1fe942a9cde25fb701c92a8e135d37d100
  • fafe11f23567080fb14cfd3b51cb440b9c097804569402d720fd32dd66059830
SEC-1275-1
Добавить комментарий