Bumblebee Loader IOCs - Part 14

security IOC
Опубликовано

Недавно исследователи CTU обнаружили вредоносное ПО Bumblebee, распространяемое через троянские программы установки для таких популярных программ, как Zoom, Cisco AnyConnect, ChatGPT и Citrix Workspace. Bumblebee - это модульный загрузчик, который исторически распространялся в основном через фишинг и использовался для доставки полезной нагрузки, обычно связанной с развертыванием программ выкупа. Троянские программы установки для особенно актуальных программ (например, ChatGPT) или программ, обычно используемых удаленными работниками, повышают вероятность новых заражений.

Один из образцов Bumblebee, проанализированных исследователями CTU, был загружен с сайта hxxp://appcisco[.]com/vpncleint/cisco-anyconnect-4_9_0195.msi. 16 февраля 2023 года или около того, субъект угрозы создал поддельную страницу загрузки для Cisco AnyConnect Secure Mobility Client v4.x  на домене appcisco[.]com. Цепочка заражения, начавшаяся с вредоносной рекламы Google, направила пользователя на эту фальшивую страницу загрузки через взломанный сайт WordPress.

Indicators of Compromise

IPv4

  • 173.44.141.131
  • 193.109.120.252
  • 23.82.140.131
  • 45.61.187.225
  • 91.206.178.68

IPv4 Port Combinations

  • 103.144.139.159:443
  • 103.175.16.10:443
  • 104.168.171.159:443
  • 104.168.175.78:443
  • 107.189.8.58:443
  • 157.254.194.104:443
  • 160.20.147.91:443
  • 172.241.27.120:443
  • 172.93.193.3:443
  • 172.93.193.46:443
  • 192.119.65.175:443
  • 194.135.33.182:443
  • 198.98.58.184:443
  • 205.185.114.241:443
  • 23.106.124.23:443
  • 23.106.223.197:443
  • 23.108.57.83:443
  • 23.81.246.22:443
  • 23.82.128.11:443
  • 37.28.157.29:443
  • 54.37.131.232:443
  • 54.38.139.94:443
  • 91.206.178.204:443
  • 95.168.191.134:443

Domains

  • appcisco.com
  • baveyek.com

MD5

  • 17c98a166253d425f3535959110909a3
  • 2f237f09413d24b51144e0694af5d34f
  • 3e5637d253c40aefdb0465df15bc057e
  • 522c0b0d445c62cdeb0a80bcce645d57
  • 5dad52c67d114f7a3a5a1e7ae5b15b58
  • 6d1d531c921a17b36e792e2843311e27
  • 6f7e07b84897cccab30594305416d36f
  • 711482ca4d5dcaf0aec4c7c4b3e1bef1
  • 77b9050f2b974bc67996b6435520b557
  • 957639998125a31c998b0104dba7f463
  • 97574694eb2ec330c2acac5e0149fdc0
  • 9982330ae990386cd74625f0eaa26ae6
  • d0659716a0a5b62fcc82eb28a0c0477b
  • d99b63e1740aa4f779b91d22f508a479
  • e10dbd4a903b0fa82db9794df6496afe
  • e4a5383ac32d5642eaf2c7406a0f1c0f
Похожие записи:
  1. Bumblebee Loader IOCs
  2. Bumblebee Loader IOCs - Part 8
  3. Bumblebee Loader IOCs - Part 9
  4. Bumblebee Loader IOCs - Part 10
  5. Bumblebee Loader IOCs - Part 11
Bumblebee Loader Secureworks
Добавить комментарий