Emotet Botnet IOCs - Part 20

botnet IOC
Опубликовано

После 4-месячного перерыва, Emotet возобновляет масштабную кампанию, направленную на итальянских пользователей. Последняя активность Emotet в Италии была отмечена в ноябре 2022 года и длилась всего одну неделю, с 3 по 9 ноября, в течение которой CERT-AGID зарегистрировал 16 кампаний, отправленных по электронной почте с вложениями ZIP и XLS, которые использовали ботнеты Epoch4 и Epoch5.

Кампания выявленная и пресеченная CERT-AGID, не касается конкретной темы, а подхватывает уже состоявшиеся разговоры, прикрепляя ZIP-файл (в данном случае 'Copy Invoice.zip'), содержащий DOC-файл размером более 500 МБ.

Преувеличенный размер DOC-файла сделан намеренно, чтобы пользователь не смог подвергнуть его анализу в онлайн-песочнице. Фактическое содержимое DOC-файла составляет чуть более 300 Кб, к которым добавляется серия нулевых байтов, пока размер не превысит 500 Мб.

Как уже наблюдалось во многих подобных кампаниях, файл DOC подготовлен с помощью вредоносного, слегка обфусцированного макроса, нацеленного на загрузку дополнительных файлов (PE или ZIP) и их выполнение. URL-адреса, с которых загружаются файлы, обфусцируются и проверяются один за другим, пока не будет получен запрашиваемый файл.

Indicators of Compromise

IPv4

  • 1.234.2.232
  • 101.50.0.91
  • 103.132.242.26
  • 103.43.75.120
  • 103.75.201.2
  • 104.168.155.143
  • 107.170.39.149
  • 110.232.117.186
  • 115.68.227.76
  • 119.59.103.152
  • 129.232.188.93
  • 139.59.126.41
  • 147.139.166.154
  • 149.56.131.28
  • 153.126.146.25
  • 153.92.5.27
  • 159.65.88.10
  • 159.89.202.34
  • 160.16.142.56
  • 163.44.196.120
  • 164.68.99.3
  • 164.90.222.65
  • 167.172.199.165
  • 167.172.253.162
  • 169.57.156.166
  • 172.105.226.75
  • 173.212.193.249
  • 182.162.143.56
  • 183.111.227.137
  • 185.4.135.165
  • 186.194.240.217
  • 187.63.160.88
  • 188.44.20.25
  • 197.242.150.244
  • 201.94.166.162
  • 202.129.205.3
  • 206.189.28.199
  • 213.239.212.5
  • 45.176.232.124
  • 45.235.8.30
  • 5.135.159.50
  • 66.228.32.31
  • 72.15.201.15
  • 79.137.35.198
  • 82.223.21.224
  • 91.121.146.47
  • 91.207.28.33
  • 94.23.45.86
  • 95.217.221.146

URLs

  • http://103.132.242.26:8080/rbxfldxgrsfbf/jujecq/arsxtaqmruuplpum/aisjudrqltljeax/
  • http://106.54.169.77/wp-content/yxQWf/
  • http://139.219.4.166/wp-includes/XXrRaJtiutdHn7N13/
  • http://3313v.com/ki7xh/QpSQfw9CPTFtNs4/
  • http://ali.faqun.cn/8uhjvgd/nhAOl4DRmdOKz/
  • http://beyond.psiloveyou.co.za/dR05Bvq90dvlsVBzn/
  • http://blog.perio.com.tr/wp-admin/Boo3JTROHh7/
  • http://ly.bi3x.org/magazini/pWKy5V5/
  • http://melkovsky.com/advice/ZRSaP7QA5yTv1fZs/
  • http://mtp.evotek.vn/wp-content/L/
  • http://mtp.evotek.vn/wp-content/L/?140152
  • http://www.189dom.com/xue80/C0aJr5tfI5Pvi8m/
  • http://www.189dom.com/xue80/C0aJr5tfI5Pvi8m/?140152
  • http://www.dnautik.com/wp-includes/UmAJjAP/?090459&c=1
  • http://xinyuhuang.com/images/48onjwxGImMdiUx/
  • https://103.132.242.26:8080/rbxfldxgrsfbf/jujecq/arsxtaqmruuplpum/aisjudrqltljeax/
  • https://103.75.201.2/vrdmtoakonzv/lpyrpszqkwnl/yxwfl/xrqsvqy/
  • https://163.44.196.120:8080/vrdmtoakonzv/lpyrpszqkwnl/yxwfl/xrqsvqy/
  • https://45.235.8.30:8080/vrdmtoakonzv/lpyrpszqkwnl/yxwfl/xrqsvqy/
  • https://91.121.146.47:8080/jwthxfret/
  • https://91.121.146.47:8080/ymnpwdwpx/sospyzw/
  • https://acfs-brisbane.org.au/ARCHIVE/Cen7LJ4iXlpWfb0/
  • https://baumart.lv/wp-admin/S8jHW33QU77gLz/
  • https://besthome.kz/docs/xtbWXvPtI0qQM/
  • https://diagnostic.net/news/5P/
  • https://diasgallery.com/about/R/
  • https://esentai-gourmet.kz/404/EDt0f/
  • https://esentai-gourmet.kz/404/EDt0f/?140152
  • https://lisaerp.com/ncsA/g7zWosP/
  • https://midcoastsupplies.com.au/configNQS/Es2oE4GEH7fbZ
  • https://midcoastsupplies.com.au/configNQS/Es2oE4GEH7fbZ/
  • https://midcoastsupplies.com.au/configNQS/mh7qtrxo/
  • https://midcoastsupplies.com.au/configNQS/rGgpv/
  • https://moiki.online/speedsale/XJdpbjT/
  • https://ns1.koleso.tc/b512c9bf0b/RnLGmaMVRRbyeY3nZb/
  • https://tatianka.com/pub/WJPrHm5OtTt/
  • https://tatianka.com:443/pub/WJPrHm5OtTt/
  • https://www.snaptikt.com/wp-includes/aM4Cz6wp2K4sfQ/

MD5

  • 011b2e355d75d2fa0f1e9b8e72525eb4
  • 11c5d0c955902be5e993f21fa4a85a4f
  • 17edd993d6c1c9e5c0942ae9b4013736
  • 2148a6a2bef5a35ce5665cbc12d5e474
  • 2adf96f58582819fafe987ec71b014c4
  • 3c7c56fc367b2a82335cd2f75d2dd099
  • 3d047ed2f8c9b4d25a67b9a2639fcb74
  • 69a5d6bff7916e89328735d6dfeb1969
  • 8442ab051947073b4ab2973d57a6233a
  • 9b1e551cd585f8166cd937f2a0980f81
  • a8eccafcae138372d34c5a87b1f4d5c0
  • ac31fad4a21b818d8f52e65750a2ec0f
  • b13b243434b3d4b186026fa3d3fdba9a
  • fb9e96b0881ea74a860c2d22e9f80272
  • fbd7471bb4a8e518392c7132d356f3c2
  • fe95283184a2afa3f6d194abda4302d1

SHA1

  • 0556169695112c697e71609f0023ebcf8f1bcdd3
  • 15fd840efab66b5b385992882a57aa06eb84cb1d
  • 2e87b33309c888ab7d655e92a45a31f15753fdee
  • 35775728ce727b15be3b51ef243a1bb682ee2476
  • 43719453c3a38c733195774cb643783f602fd044
  • 4836aeaf18e1620ecc2ae422743d91965f832441
  • 5a76435796fdab5e3fea83f77d33a03e859803dd
  • 954e23b16ded88b1cd050ddcb09b6a5ac6c35dcf
  • 9b08a294c6f0c6cf91c023f8314a4434c23e0fd2
  • a0fd12d672cf43327d16336e3289acb01af1706f
  • a4c0b68d64dd79ebfaf613081a089a2712d2e7e9
  • bee820677053e96fbb51bf29e3b131f02cee6f4c
  • c11e836318755c06db5a18c54892e3cccf279da8
  • c807383bc031f7e7ef247c3d6bda284a6163ba8d
  • e03ff89c6c85c5e60106da7aecd8d0cda362875d
  • f744b8a8e027265955e3111f2b2d21396b17d549

SHA256

  • 0fd1f5eae56248a6ccd9f34bf99e5ef08e04c768cdd788e020ed137ce0d1f09b
  • 1c9be74d8f870d1218685a86a51ffb01d96524a742fe9f610eb07d9c345e3961
  • 34d17479f101c95b858ca4c9e54b5f3a6e7ffda281a9c9460a11be2831f8af54
  • 3fd0964eb74075e3431e27920ccdb2d6edffa8b8c2dac307a20f183d72e0cbdd
  • 5ecdc169d3da2345feeda676fa5f312ed1fa188acb7577033cfdebe7d393c5ab
  • 61e4713129e7466ba4986cbbc1cfe05464439f5a6c3a67590d3be59cc46b29cc
  • 6f9f0b51aaa11810ded4080d39bed24ff7649bc3fccc587ced5e9398951e27e0
  • 90c5a24027b6fdb3f45e59d5d263af8317d57657efd2f68f7fd840b927cdd464
  • ab95cced90dd16a741f991226df7fac38ca514e18deb95c730eb7e7efe4da589
  • af73a3c11b0476b56b20a3ab05e468876e4f1ae69f79fdd3741ef8a982a1a688
  • b8f75feddecdf100c062da90a3fa2423aece82a7f60dffa130395a07cfc46876
  • cfad0dcd5988f2f30d91b4c51bf68ff571ec988393934ecd7bcb876163f5ea66
  • d03af1301860699bdc724ed8cfd9c08a80f577bfcdad1fb7193e8344fd0d4d76
  • d8b45395fabe03155050debe2c8669ebc3a38f0d151143129f4361d5dbf51616
  • f2223da36c8d349a3545f952992ffc45ad0649dfec02f4ca8d0bc50f151794db
  • f616da0ebb4f984aecd40da922c0cdf70987643a86afadc969aa76598120cd5d

Похожие записи:

  1. Emotet (E4, E5) Botnet IOCs - Part 7
  2. Emotet (E4) Botnet IOCs - Part 6
  3. Emotet (E4) Botnet IOCs - Part 8
  4. Emotet (E4) Botnet IOCs - Part 9
  5. Emotet (E4) Botnet IOCs - Part 10
Botnet CERT-IT Emotet Epoch4 Epoch5
Добавить комментарий