IcedID (Bokbot) Trojan IOCs - Part 8

remote access Trojan IOC

IcedID (также известный как Bokbot) - это вредоносная программа для кражи информации/бэкдор, которая может привести к другим действиям, таким как Cobalt Strike и трафик виртуальных сетевых вычислений (VNC). IcedID часто распространяется по электронной почте, а также доставляется на сайты поддельного программного обеспечения из рекламного трафика Google.

В последнее время распространение происходило с помощью файлов .url, которые, вероятно, были прикреплены к электронному письму. Во вторник 2023-02-21, @wwp96 написал в твиттере об открытой директории по адресу hxxp[:]//104.156.149[.]6/webdav/. Поиск на VirusTotal выявил по меньшей мере 22 файла .url, которые пытались связаться с сервером. Все эти .url файлы используют file:\\\ вместо http:// для URL, и все они захватывают одноименный .bat файл из открытого каталога. Файл .bat запускает DLL-установщик с именем host.dll для IcedID на том же сервере. Файлы .url и .bat используют WebDAV для получения и запуска вредоносного ПО.

Indicators of Compromise

IPv4

  • 104.156.149.6

Domains

  • ituitem.net
  • mandalorecnote.com
  • noosaerty.com
  • palasedelareforma.com
  • renomesolar.com

URLs

  • http://104.156.149.6/webdav/host.dll
  • http://104.156.149.6/webdav/PO_61467.bat
  • http://ituitem.net/
  • http://mandalorecnote.com/images/

SHA256

  • 0a79166f95d1f1a3542135241ea42026188916ea9c06510c20247849c5ad6f0e
  • 0dfd67dafe621b57eac338e581d65598197cdb0a499a8345fa9beeae9196d8e8
  • 145b2d2a7d52f6c9ff96fbd2338204a7eb062ed271893faa7ad5a87b0879fa50
  • 1574ed0b6c1b82089dc8fc098acc3bb86c63aa11f24e45c6683a485fe109777a
  • 161baa1e72a4f23c9c7fee1431d3fcb07a0fd832a4318c1ebe7526de71baedda
  • 1c3ece4a1e0c9cf42a063b76da6d22c1bd43e929ce01cc51d506880b8d86f72f
  • 2505d97d1b34bc27e13e6e212fa591866a3a384952d404ceb7c1a8f385ac6238
  • 266c106ef803493a9dc14f48437c482088764ea47eb14214f09d49ad1ad62c71
  • 2bdc4b5aa6b3f9395065f2c31ba130ecc21fbe4db3fcdb3c60a526e34e72bd74
  • 2c814c61891a1b3b9067b82b5357d13505b4ced6fd827fdde4c3116efb3f9cef
  • 48b05dcb2f48ae742498e040135079a8b59f3698d1619c44622b0fe558760342
  • 4cc43b0ec10ad3f8521504df13f38182d945b865dac070b8663c262ec2b2ed69
  • 5d9ffcd009e5fde1eaa2eb6a2fbead02b3169024401720e2a06e90e3edd10cb9
  • 690b002884d71774f0877ad69385c12d0f814606296c69b647bd19a900cdd768
  • 6daeb5feb3cf988790b30152a25617566523fad65cbc4846e3a715c2e4dfb307
  • 8d076fe2d93a9ebd5701eb7a1acab37e9d390df7f50e6d155c6c7289934d2b54
  • a01a82f3edd13700ea85115e553fb7a601b098891cbbebbc94b2289ae40bedce
  • acc3d0964c41f6553d3aca71ba8baec044a2158ea019ecf50d8fa1d9e6720298
  • accf567245e184467ead9e9e5a52ab68d7bd0c9eaa81848b439cec69fd808416
  • b1c1977b5d5b0705fa3e29b9cd5760e2f394698ad9594f626104021893bddc20
  • c823261b03d11d23e76756643c8ca28baf024353464297346612af908bda4d8e
  • d02a84eb7972ce9e1a092702595750ec687f850ebbd1879a3fe5944f51b24473
  • d1ac1a32c791141d89d3df990f95b8011cfc2ec585a8c8715c0bac61e63b1a95
  • d5332249fcef78250100b4a147ef336279f188336f2d543dd5b3638973b107be
  • dcf2a4d0ee66d3f47d9ff4ee9bcbc63c3286559a0ba80ab129034639b063f7f1
  • f2ab26557364d548a40ab3c43db78e03750e8eb391258080dda31b5c3f71c1d9
  • f4c46cf9ffd25764a63bcc6d158bfad5495802f830266111a37d39f107eee6d4
  • fae4e3388e95d2e710257ae86ff482258f0f51458f42d116349ebc6a9266b29f
SEC-1275-1
Добавить комментарий