GlobeImposter Ransomware IOCs

security IOC

ASEC (AhnLab Security Emergency response Center) недавно обнаружил активное распространение программы-вымогателя GlobeImposter. Эта атака осуществляется субъектами угроз, создавшими MedusaLocker. Хотя конкретный маршрут не удалось установить, предполагается, что вымогатель распространяется через RDP благодаря различным доказательствам, собранным из журналов заражения.

Вместе с GlobeImposter агент угрозы установил различные инструменты, такие как Port Scanner и Mimikatz. Если после установки этих инструментов удается подтвердить, что они находятся во внутренней сети компании, предполагается, что они будут нацелены на эту сеть.

Indicators of Compromise

URLs

  • http://46.148.235.114/cmd.php

MD5

  • 21ea77788aa2649614c9ec739f1dd1b8
  • 4edd26323a12e06568ed69e49a8595a5
  • 4fdabe571b66ceec3448939bfb3ffcd1
  • 597de376b1f80c06d501415dd973dcec
  • 5e1a53a0178c9be598edff8c5170b91c
  • 646698572afbbf24f50ec5681feb2db7
  • 6a58b52b184715583cda792b56a0a1ed
  • 70f87b7d3aedcd50c9e1c79054e026bd
  • 715ddf490dbaf7d67780e44448e21ca1
  • a03b57cc0103316e974bbb0f159f78f6
  • bb8bdb3e8c92e97e2f63626bc3b254c4
  • ddfad0d55be70acdfea36acf28d418b3
  • f627c30429d967082cdcf634aa735410
SEC-1275-1
Добавить комментарий