GlobeImposter Malware IOCs

security IOC

С 2017 года кампании по доставке GlobeImposter продолжают распространяться, несмотря на то, что вымогательское ПО претерпело лишь незначительные изменения. GlobeImposter чаще всего распространяется через фишинговые электронные письма в виде вложения или ссылки на вредоносное вложение. Полезная нагрузка обычно распространяется через архивы 7zip или традиционные zip-файлы. Архивы часто содержат файл JavaScript (.js), который загружает и выполняет полезную нагрузку GlobeImposter.
Более поздние кампании, проведенные в течение последних трех лет, по-прежнему следуют этой формуле.


GlobeImposter также распространялся как инфекция на поздней стадии в некоторых известных ботнетах. Например, в 2017 году GlobeImposter распространялся через ботнет Necurs. Это происходило в рамках многочисленных спам-кампаний, которые также включали архивы 7zip и следовали описанному ранее потоку выполнения.

Исследование AhnLab выявило кампанию ransomware, которую они назвали "TZW", с жертвами в Южной Корее. Название происходит от первых трех символов портала жертвы на базе TOR. При ближайшем рассмотрении можно предположить, что образцы "TZW" представляют собой новый вариант семейства GlobeImposter.

Indicators of Compromise

Onion Domains

  • obzuqvr5424kkc4unbq2p2i67ny3zngce3tbdr37nicjqesgqcgomfqd.onion
  • tzw7ckhurmxgcpajx6gy57dkrysl2sigfrt6nk4a3rvedfldigtor7ad.onion

SHA1

  • 14be1c43fbfb325858cda78a126528f82cf77ad2
  • 3326708ba36393b1b4812aa8c88a03d72689ac24
  • 4585da0ff7a763be1a46d78134624f7cd13e6940
  • 858f3f7f656397fcf43ac5ea13d6d4cbe7a5ca11
  • 8c64e820a4c5075c47c4fbaea4022dc05b3fd10b
  • 9a080cd497b8aa0006dc953bd9891155210c609c
  • cf21028b54c4d60d4e775bf05efa85656de43b68
  • cf5ab37612f24ed422a85e3745b681945c96190e
  • d034880d1233d579854e17b6ffad67a18fb33923
  • dc98b516c9c589c2b40bc754732ad5f16deb7c82
SEC-1275-1
Добавить комментарий