Mispadu Campaign IOCs

security IOC

Недавняя попытка заражения сети клиента была обнаружена операционным центром Metabase Q Security Operations Center. Интересно, что хотя первоначальная полезная нагрузка была правильно заблокирована EDR, использование поддельных сертификатов для попытки обойти обнаружение привлекло наше внимание.

В ходе анализа артефактов, предоставленных командой SOC, было выявлено 20 различных спам-кампаний, направленных на Чили, Мексику, Перу и Португалию, пытающихся украсть учетные данные пользователей при доступе к онлайн-банкингу, школам, государственным службам, социальным сетям, играм, электронной коммерции, публичным хранилищам и т.д., а также нацеленных на учетные данные электронной почты Outlook. Даже в некоторых случаях злоумышленники могут показываться жертве, при необходимости подделывая окна онлайн-банкинга. При первоначальном заражении злоумышленники пытались заманить жертв, чтобы те открыли различные типы поддельных счетов для оплаты, приходящих в виде HTML-страниц или PDF-файлов, защищенных паролем, как в приведенном ниже примере, направленном на мексиканских пользователей:

Из-за неправильной конфигурации, сделанной злоумышленниками, Ocelot смог захватить с 8 из 20 командных и управляющих серверов (C2) (большинство из них - взломанные веб-сайты) файлы, хранящие украденные учетные данные жертв, сводку можно увидеть в следующей таблице, показывающей шокирующие 90 518 украденных учетных данных с 17595 уникальных веб-сайтов из всех секторов!

Indicators of Compromise

IPv4

  • 104.238.182.44

IPv4 Port Combinations

  • 104.238.182.44:4000
  • 140.82.47.181:4000
  • 140.82.47.181:4001

Domains

  • germogenborya.at
  • germogenborya.top
  • grintour.newdestuner.xyz
  • russk22.icu
  • vaadiandkoh.com

URLs

  • http://aguiasoft.com.br
  • http://aguiasoft.com.br/blog/hydra/do/it.php?b1=1&v1=3082&v2=2058&v3=windows%207&v4=admin&v5=x64
  • http://blog.traveldealsbd.com
  • http://blog.traveldealsbd.com/images/arrow/do/it.php?b1=1&v1=1033&v2=1033&v3=windows%207&v4=user&v5=x64
  • http://explanada2023.com
  • http://explanada2023.com/wp-includes/stylish/it.php?f=2&w=windows%207
  • http://facturacion.sat.gob.educationalwriters.com
  • http://facturacion.sat.gob.educationalwriters.com/do/it.php?f=2&w=windows%207
  • http://formas-mexico.com/formas.xls
  • http://germogenborya.top/rest/?h=code
  • http://grintour.newdestuner.xyz/dhyhsh3a.php
  • http://grintour.newdestuner.xyz/g1
  • http://highlineadsl.com
  • http://highlineadsl.com/ddd/it.php?f=3&w=windows%207
  • http://luzca.com
  • http://luzca.com/img/do/it.php?f=2&w=windows%207
  • http://nbviajesacapulco.com
  • http://nbviajesacapulco.com/pixel/it.php?f=2&w=windows%207
  • http://nbviajesacapulco.com/pruc/it.php?f=9&w=windows%207
  • http://publicpressmagazine.com
  • http://publicpressmagazine.com/images/swan/do/it.php?b1=1&v1=1033&v2=1033&v3=windows%207&v4=user&v5=x86
  • http://russk22.icu/brbr.txt
  • http://tripsapata.com
  • http://tripsapata.com/assets/images/swan/do/it.php
  • http://vaadiandkoh.com/ue/app/do/it.php?f=9&w=windows%207
  • http://vasuk[i].in/wp-content/img/do/it.php?f=9&w=windows%207
  • http://websylvania.com
  • http://websylvania.com/psj/do/it.php?b1=1&v1=3082&v2=1034&v3=windows%207&v4=admin&v5=x64
  • http://www.castleblack.online
  • http://www.castleblack.online/cfr/it.php?f=2&w=windows%207
  • https://bdadvisors.ma
  • https://bdadvisors.ma/img/do/it.php?f=2&w=windows%2010
  • https://blablamap.net
  • https://blablamap.net/images/arrow/do/it.php
  • https://bola.com.au/images/hh/cfdi/do/it.php?f=2&w=windows%2010
  • https://dicktres.com.br
  • https://dicktres.com.br/pontecom/wp-content/img/do/it.php
  • https://factura61.click/2/?cq9ocklyiqoszqmxy43b80jddceyl69glzh6hnkz
  • https://facturaciones.click
  • https://facturaciones.click/?7kqhhbee9y1fiebz0uc7izrlyj2twdzfk0qnxvxu
  • https://facturaciones3.click/
  • https://facturasnet.store
  • https://imberform.com
  • https://imberform.com/img/?dew98fy348erf7i
  • https://kh7jv.store/?jdce8ift3qzj2ms4fqv8bp5q9km6bfvmkuee7qolg7z4kl9oa48smgrjdce8ift3qzj2ms4fqv8bp5q9km6bfvmkuee7qolg7z4kl9oa48smgr
  • https://retiro10.click/
  • https://retiro10.store/
  • https://splendidgifts.com.my
  • https://splendidgifts.com.my/hiway/ap2/do/it.php?b1&v1=1033&v2=1033&v3=&v4=windows%2010&v5=user&v6=x64
  • https://sxconstructions.com.au
  • https://sxconstructions.com.au/wp-content/img/do/it.php?b1&v1=1033&v2=1033&v3=&v4=windows%207&v5=user&v6=x%2086&v7=
  • https://sxconstructions.com.au/wp-content/img/do/it.php?f=2&w=windows%210
  • https://sxconstructions.com.au/wp-content/img/do/it.php?info2=datos
  • https://tequilamisorpresa.com/ytweshdg.php?id=
  • https://www.zairtaz.com
  • https://www.zairtaz.com/wp-content/plugins/license/inc/hydra/do/it.php?f=9&w=windows%2010

MD5

  • 0adb9b817f1df7807576c2d7068dd931
  • 0d8d82e1810f549f8645535c836d7afd
  • 2858cdf0b9fb6ddd18709909df612063
  • 293b9621798ee17005d1effe463a8989
  • 3fb45296abdc78792fb609c187b4a89d
  • 618a60899aae66ea55e5dc8374c7b828
  • 72e83b133a9e4cecd21fdb47334672f6
  • a96125294afa1c3f92ab7be615dc1cbe
  • ab80d005bcc4641d5d1ae75fbb2723b9
  • b41e2b88fff36ff4937dc19f2677ee84
  • e5967a8274d40e0573c28b664670857e
  • e903b37b1e42d0b8bf0514cb13a46233
SEC-1275-1
Добавить комментарий