Использование наборов эксплойтов (EK) снижается с конца 2016 года, однако определенная активность остается постоянной. Magnitude Exploit Kit - один из таких примеров, который продолжает воздействовать на пользователей, особенно в регионе АТР.
Эта тенденция сохранялась до конца сентября 2017 года, когда мы увидели, что Magnitude EK сосредоточилась в основном на регионе АТР, причем большая часть была нацелена на Южную Корею. Затем активность Magnitude EK пропала с радаров до 15 октября 2017 года, когда она вернулась и начала фокусироваться исключительно на Южной Корее. Ранее он распространял программу-вымогатель Cerber, но распространение Cerber сократилось (мы также наблюдали сокращение распространения Cerber по электронной почте), и теперь он распространяет программу-вымогатель, известную как Magniber.
Первое повторное появление Magnitude EK 15 октября произошло в виде перенаправления с домена: fastprofit[.]loan. Целевая страница Magnitude EK содержала CVE-2016-0189, который, как впервые сообщалось, использовался в Neutrino Exploit Kit после его исправления.
Indicators of Compromise
Domains
- 2i1f3aadm8k.putback.space
- 3e37i982wb90j.fileice.services
- 3ee9fuop6ta4d6d60bt.bankme.date
- 3ee9fuop6ta4d6d60bt.carefit.agency
- 3ee9fuop6ta4d6d60bt.hotdisk.world
- 3ee9fuop6ta4d6d60bt.jobsnot.services
- a3co5a8iab2x24g90.helpraw.schule
- fastprofit.loan
- fastprofit.me
MD5
- dc2a2b84da359881b9df1ec31d03c715