Gigabud RAT IOCs

remote access Trojan IOC

Cyble Research & Intelligence Labs (CRIL) обнаружила фишинговый веб-сайт hxxp://lionaiothai[.]com, который выдавал себя за настоящую тайскую авиакомпанию Thai Lion Air и обманом заставлял жертв загрузить вредоносное приложение.

Загруженное вредоносное приложение является троянцем удаленного доступа (RAT), который получает команды от командно-контрольного сервера (C&C) и выполняет различные действия. RAT обладает расширенными возможностями, такими как запись экрана и использование службы доступа для кражи банковских реквизитов.

В ходе расследования RAT Cyble обнаружили, что сертификат, используемый для подписи этого вредоносного приложения, был найден в более чем 50 аналогичных образцах вредоносных программ, использующих один и тот же исходный код. Эти образцы выдавали себя за государственные учреждения, приложения для покупок и банковские кредитные приложения из Таиланда, Филиппин и Перу.

Indicators of Compromise

URls

  • http://8.219.85.91:8888/push-streaming?id=1234
  • http://bweri6.cc/x/command?token=&width=1080&height=1920
  • http://cmnb9.cc
  • http://lionaiothai.com

MD5

  • b2429371b530d634b2b86c331515904f
  • ca6aa6c5a7910281a899695e61423079

SHA1

  • 1012a7627b6b82e3afb87380bbfda515764ce0a6
  • ea5359c8408cdb4ebb7480704fe06a8e3bfa37c3

SHA256

  • a940c9c54ff69dacc6771f1ffb3c91ea05f7f08e6aaf46e9802e42f948dfdb66
  • ec1e2ff5c72c233f2b5ad538d44059a06b81b5e5da5e2c82897be1ca4539d490
SEC-1275-1
Добавить комментарий