Известный использованием отравления поисковой оптимизации (SEO) для получения первоначального доступа, Gootkit loader (он же Gootloader) всплыл в недавней серии атак на организации в сфере здравоохранения Австралии.
Чтобы перевести заражение на следующую стадию, Gootkit loader использовал VLC Media Player, легитимный продукт, который также использовался APT10.
Indicators of Compromise
IPv4
- 193.106.191.187
URLs
- http://bip.podkowalesna.pl/xmlrpc.php
- http://blog.ddlab.net/xmlrpc.php
- http://bodilbruun.dk/xmlrpc.php
- http://clearchoiceairtreatment.com/xmlrpc.php
- https://ahanpt.ir/xmlrpc.php
- https://allthetech.com/xmlrpc.php
- https://baban.ir/xmlrpc.php
- https://centre-samekh.ch/xmlrpc.php
- https://covid19.gov.gd/xmlrpc.php
- https://educabla.com/xmlrpc.php
- https://emitrablog.com/xmlrpc.php
- https://fx-arabia.com/xmlrpc.php
- https://mangayaro.com/xmlrpc.php
- https://mgplastcutlery.com/xmlrpc.php
- https://nmm.pl/xmlrpc.php
- https://ntumatches.tw/xmlrpc.php
- https://ruscred.site/xmlrpc.php
- https://sayhueque.com/xmlrpc.php
- https://thedinkpickleball.com/xmlrpc.php
- https://www.slimdiet.eu/content.php
- https://www.studio-lapinternet.fr/content.php
- https://yespornplease.tv/xmlrpc.php
SHA256
- 57af5c9f715d5c516e1137b6d336bff7656e1b85695fff4c83fc5a78c11fdec6
- 6d549cd0b623f5623bb80cc344f6b73962d76b70a7cbd40ca8f1d96df7cce047
- 7c2ea97f8fff301a03f36fb6b87d08dc81e948440c87c2805b9e4622eb4e1991
- a9d2a52e418f5cc9f6943db00a350a5588c11943898d3d6d275e1b636b3cd7c8