IcedID (также известный как Bokbot) - это вредоносная программа для кражи информации/бэкдор, которая может привести к другим действиям, таким как Cobalt Strike и трафик виртуальных сетевых вычислений (VNC). IcedID часто распространяется по электронной почте, а также доставляется на сайты поддельного программного обеспечения из рекламного трафика Google.
В последнее время распространение происходило с помощью файлов .url, которые, вероятно, были прикреплены к электронному письму. Во вторник 2023-02-21, @wwp96 написал в твиттере об открытой директории по адресу hxxp[:]//104.156.149[.]6/webdav/. Поиск на VirusTotal выявил по меньшей мере 22 файла .url, которые пытались связаться с сервером. Все эти .url файлы используют file:\\\ вместо http:// для URL, и все они захватывают одноименный .bat файл из открытого каталога. Файл .bat запускает DLL-установщик с именем host.dll для IcedID на том же сервере. Файлы .url и .bat используют WebDAV для получения и запуска вредоносного ПО.
Indicators of Compromise
IPv4
- 104.156.149.6
Domains
- ituitem.net
- mandalorecnote.com
- noosaerty.com
- palasedelareforma.com
- renomesolar.com
URLs
- http://104.156.149.6/webdav/host.dll
- http://104.156.149.6/webdav/PO_61467.bat
- http://ituitem.net/
- http://mandalorecnote.com/images/
SHA256
- 0a79166f95d1f1a3542135241ea42026188916ea9c06510c20247849c5ad6f0e
- 0dfd67dafe621b57eac338e581d65598197cdb0a499a8345fa9beeae9196d8e8
- 145b2d2a7d52f6c9ff96fbd2338204a7eb062ed271893faa7ad5a87b0879fa50
- 1574ed0b6c1b82089dc8fc098acc3bb86c63aa11f24e45c6683a485fe109777a
- 161baa1e72a4f23c9c7fee1431d3fcb07a0fd832a4318c1ebe7526de71baedda
- 1c3ece4a1e0c9cf42a063b76da6d22c1bd43e929ce01cc51d506880b8d86f72f
- 2505d97d1b34bc27e13e6e212fa591866a3a384952d404ceb7c1a8f385ac6238
- 266c106ef803493a9dc14f48437c482088764ea47eb14214f09d49ad1ad62c71
- 2bdc4b5aa6b3f9395065f2c31ba130ecc21fbe4db3fcdb3c60a526e34e72bd74
- 2c814c61891a1b3b9067b82b5357d13505b4ced6fd827fdde4c3116efb3f9cef
- 48b05dcb2f48ae742498e040135079a8b59f3698d1619c44622b0fe558760342
- 4cc43b0ec10ad3f8521504df13f38182d945b865dac070b8663c262ec2b2ed69
- 5d9ffcd009e5fde1eaa2eb6a2fbead02b3169024401720e2a06e90e3edd10cb9
- 690b002884d71774f0877ad69385c12d0f814606296c69b647bd19a900cdd768
- 6daeb5feb3cf988790b30152a25617566523fad65cbc4846e3a715c2e4dfb307
- 8d076fe2d93a9ebd5701eb7a1acab37e9d390df7f50e6d155c6c7289934d2b54
- a01a82f3edd13700ea85115e553fb7a601b098891cbbebbc94b2289ae40bedce
- acc3d0964c41f6553d3aca71ba8baec044a2158ea019ecf50d8fa1d9e6720298
- accf567245e184467ead9e9e5a52ab68d7bd0c9eaa81848b439cec69fd808416
- b1c1977b5d5b0705fa3e29b9cd5760e2f394698ad9594f626104021893bddc20
- c823261b03d11d23e76756643c8ca28baf024353464297346612af908bda4d8e
- d02a84eb7972ce9e1a092702595750ec687f850ebbd1879a3fe5944f51b24473
- d1ac1a32c791141d89d3df990f95b8011cfc2ec585a8c8715c0bac61e63b1a95
- d5332249fcef78250100b4a147ef336279f188336f2d543dd5b3638973b107be
- dcf2a4d0ee66d3f47d9ff4ee9bcbc63c3286559a0ba80ab129034639b063f7f1
- f2ab26557364d548a40ab3c43db78e03750e8eb391258080dda31b5c3f71c1d9
- f4c46cf9ffd25764a63bcc6d158bfad5495802f830266111a37d39f107eee6d4
- fae4e3388e95d2e710257ae86ff482258f0f51458f42d116349ebc6a9266b29f