ASEC (AhnLab Security Emergency response Center) недавно обнаружил активное распространение программы-вымогателя GlobeImposter. Эта атака осуществляется субъектами угроз, создавшими MedusaLocker. Хотя конкретный маршрут не удалось установить, предполагается, что вымогатель распространяется через RDP благодаря различным доказательствам, собранным из журналов заражения.
Вместе с GlobeImposter агент угрозы установил различные инструменты, такие как Port Scanner и Mimikatz. Если после установки этих инструментов удается подтвердить, что они находятся во внутренней сети компании, предполагается, что они будут нацелены на эту сеть.
Indicators of Compromise
URLs
- http://46.148.235.114/cmd.php
MD5
- 21ea77788aa2649614c9ec739f1dd1b8
- 4edd26323a12e06568ed69e49a8595a5
- 4fdabe571b66ceec3448939bfb3ffcd1
- 597de376b1f80c06d501415dd973dcec
- 5e1a53a0178c9be598edff8c5170b91c
- 646698572afbbf24f50ec5681feb2db7
- 6a58b52b184715583cda792b56a0a1ed
- 70f87b7d3aedcd50c9e1c79054e026bd
- 715ddf490dbaf7d67780e44448e21ca1
- a03b57cc0103316e974bbb0f159f78f6
- bb8bdb3e8c92e97e2f63626bc3b254c4
- ddfad0d55be70acdfea36acf28d418b3
- f627c30429d967082cdcf634aa735410