ALPHV Ransomware IOCs

security IOC
Опубликовано

Компания Mandiant обнаружила новый филиал программы-выкупа ALPHV (она же BlackCat ransomware), отслеживаемый как UNC4466, нацеленный на открытые установки Veritas Backup Exec, уязвимые к CVE-2021-27876, CVE-2021-27877 и CVE-2021-27878, для первоначального доступа к средам жертв.

Коммерческая служба интернет-сканирования выявила более 8500 установок Veritas Backup Exec, которые в настоящее время открыты для доступа в интернет, некоторые из них все еще могут быть не исправлены и уязвимы. Предыдущие вторжения ALPHV, расследованные компанией Mandiant, в основном происходили с использованием украденных учетных данных, что свидетельствует о переходе к оппортунистическому использованию известных уязвимостей. В этой статье блога рассматривается жизненный цикл атаки UNC4466, индикаторы и возможности обнаружения.

ALPHV появился в ноябре 2021 года как ransomware-as-a-service, который, по мнению некоторых исследователей, является преемником BLACKMATTER и DARKSIDE ransomware. Хотя некоторые операторы вымогательского ПО приняли правила, позволяющие избежать воздействия на объекты критической инфраструктуры и здравоохранения, ALPHV продолжает атаковать эти чувствительные отрасли.

  1. В марте 2021 года компания Veritas опубликовала сообщение о трех критических уязвимостях в Veritas Backup Exec 16.x, 20.x и 21.x.
  2. 23 сентября 2022 года был выпущен модуль METASPLOIT, который использует эти уязвимости и создает сессию, которую агент угрозы может использовать для взаимодействия с системой жертвы.
  3. 22 октября 2022 года компания Mandiant впервые наблюдала эксплуатацию уязвимостей Veritas в дикой природе.

Indicators of Compromise

IPv4

  • 185.141.62.123
  • 45.61.138.109
  • 5.199.169.209

IPv4 Port Combinations

  • 185.141.62.123:50810
  • 185.99.135.115:39839
  • 185.99.135.115:41773
  • 185.99.135.115:49196
  • 45.61.138.109:33971
  • 45.61.138.109:36931
  • 45.61.138.109:41703
  • 45.61.138.109:43937
  • 45.61.138.109:45815
  • 5.199.169.209:31600

URLs

  • http://185.141.62.123:10228/update.exe

MD5

  • 17424a22f01b7b996810ba1274f7b8e9
  • 1f437347917f0a4ced71fb7df53b1a05
  • 24b0f58f014bd259b57f346fb5aed2ea
  • 4fdabe571b66ceec3448939bfb3ffcd1
  • 5fe66b2835511f9d4d3703b6c639b866
  • 68d3bf2c363144ec6874ab360fdda00a
  • b41dc7bef82ef384bc884973f3d0e8ca
  • c590a84b8c72cf18f35ae166f815c9df
  • da202cc4b3679fdb47003d603a93c90d
  • e31270e4a6f215f45abad65916da9db4
  • ee6e0cb1b3b7601696e9a05ce66e7f37
  • f66e1d717b54b95cf32154b770e10ba4

 

Похожие записи:
  1. BlackCat/ALPHV Ransomware IOCs
  2. BlackCat/ALPHV Ransomware IOCs - Part 2
  3. BlackCat (BlackMatter) APT IOC
  4. Lockbit, Hive, BlackCat APT IOCs
  5. Qyick, Agenda, BlackCat, BlackBasta Ransomware IOCs
ALPHV APT BlackCat CVE-2021-27876 CVE-2021-27877 CVE-2021-27878 Metasploit Mimikatz NanoDump Ransomware
Добавить комментарий