NullMixer Dropper IOCs - Part 2

security IOC

В марте 2023 года исследователи получили информацию и данные о продолжающейся операции с вредоносным ПО, поразившей более 8 000 целей в течение нескольких недель, с особым упором на североамериканские, итальянские и французские цели.

Эта атака была связана со всемирной операцией по распространению вредоносного ПО, известной как NullMixer - спорный и широко распространенный маневр доставки вредоносного ПО, основанный на отравлении SEO и технике социальной инженерии для привлечения технически подкованных пользователей, включая ИТ-персонал.

Анализ этой волны атак выявил наличие спорного фрагмента кода в поставляемой полезной нагрузке, среди дополнительных загрузчиков, связанных с новыми операторами MaaS и PPI.

  •  Италия и Франция являются излюбленными европейскими странами с точки зрения оппортунистических злоумышленников.
  • За тридцать дней операция смогла установить первоначальный доступ к более чем 8 тысячам конечных точек и украсть конфиденциальные данные, которые теперь попадают на подпольные черные рынки.
  • Большинство жертв устанавливают операционные системы Windows 10 Professional и Enterprise, включая несколько Datacenter-версий Windows Server. Некоторые из них также являются Windows Embedded, что свидетельствует о проникновении такого вредоносного ПО даже в IoT-среды.
  • Пакет NullMixer включает в себя новые полиморфные загрузчики сторонних поставщиков услуг MaaS и PPI на подпольных рынках, а также фрагменты спорного, потенциально связанного с Северной Кореей кода псевдоманускрипта.

Indicators of Compromise

IPv4

  • 154.221.31.191
  • 45.12.253.56
  • 45.12.253.72
  • 45.12.253.98
  • 45.130.151.133
  • 47.90.167.104

Domain Port Combinations

  • hrabrlonian.xyz:81

URLs

  • http://195.123.211,56/index.php
  • http://34.80.59.191/win.pac
  • http://34.80.59.191:8183/
  • http://45.12.253,56/advertisting/plus.php
  • http://91.201.115.148
  • http://crashedff.xyz/addnew.php

MD5

  • 53f9c2f2f1a755fc04130fd5e9fcaff4
  • 6ffbbca108cfe838ca7138e381df210d
  • aaa7586b2e64363b85571195a01b14e9
  • b2efceab3748f46e64091e87b1767abf
  • c4ffe80effddba0b8d9f82988464c5d0
  • e299ac0fd27e67160225400bdd27366f
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий