Quantum Locker Ransomware IOCs

ransomware IOC

Quantum Ransomware - одна из самых новых вредоносных программ, уже есть несколько сообщений об атаках, совершенных с ее помощью.

Quantum Ransomware

Злоумышленник смог проникнуть в сеть, когда конечная точка пользователя была скомпрометирована полезной нагрузкой IcedID, содержащейся в ISO-образе. Предположительно полезная нагрузка была доставлена по электронной почте, однако не удалось идентифицировать почтовое отправление.

ISO содержал DLL-файл (вредоносная программа IcedID) и ярлык LNK для его выполнения. Конечный пользователь после щелчка на ISO-файле мог видеть только один файл с именем "document", который является LNK-ярлыком для скрытой DLL, упакованной в ISO. Когда пользователь нажимает на LNK-файл, запускается DLL IcedID.

После выполнения библиотеки IcedID DLL выполнялась целая серия задач по обнаружению с помощью встроенных утилит Windows, таких как ipconfig, systeminfo, nltest, net и chcp. Вредоносная программа IcedID также создала запланированную задачу в качестве средства сохранения на хосте-плацдарме.

Примерно через два часа был развернут Cobalt Strike с использованием методов "выемки" процессов и инъекций. Это ознаменовало начало деятельности... Эта деятельность включала использование AdFind через пакетный сценарий adfind.bat для обнаружения структуры активного каталога целевой организации. Злоумышленники собрали сетевую информацию о хостах, запустив пакетный сценарий ns.bat, который выполнял nslookup для каждого хоста в окружении.

Затем процесс Cobalt Strike получил доступ к памяти LSASS для извлечения учетных данных, которые через несколько минут были проверены для запуска удаленных задач обнаружения WMI на сервере. Убедившись, что учетные данные работают с действиями WMI, злоумышленник перешел по RDP на этот сервер и попытался сбросить и выполнить DLL-маяк Cobalt Strike. Это оказалось неудачным, поэтому злоумышленник открыл cmd и выполнил PowerShell Cobalt Strike Beacon. Этот маяк успешно подключился к тому же командно-контрольному серверу, который наблюдался на узле плацдарма.

В течение следующего часа злоумышленник продолжал выполнять RDP-подключения к другим серверам в окружении. Получив представление о структуре домена, подготовился к развертыванию вымогательской программы, скопировав ее (с именем ttsel.exe) на каждый узел через общую папку C$. Они использовали два метода удаленного исполнения для детонации двоичного файла выкупа, WMI и PsExec. Развертывание этой программы-выкупа завершилось менее чем через четыре часа после первоначального выполнения IcedID.

Хотя в записке о выкупе указано, что угроза похитила данные, не обнаружено открытой утечки данных; однако не исключено, что угроза использовала IcedID или Cobalt Strike для передачи конфиденциальных данных.

Indicators of Compromise

IPv4

  • 138.68.42.130
  • 157.245.142.66
  • 188.166.154.118
  • 185.203.118.227

Domains

  • dilimoretast.com
  • antnosience.com
  • oceriesfornot.top
  • arelyevennot.top

MD5

  • e051009b12b37c7ee16e810c135f1fef
  • 4a6ceabb2ce1b486398c254a5503b792
  • adf0907a6114c2b55349c08251efdf50
  • ebf6f4683d8392add3ef32de1edf29c4
  • 49513b3b8809312d34bb09bd9ea3eb46
  • e9ad8fae2dd8f9d12e709af20d9aefad
  • b1eff4fffe66753e5f4265bc5332f72e
  • 350f82de99b8696fea6e189fcd4ca454

SHA1

  • 415b27cd03d3d701a202924c26d25410ea0974d7
  • 08a1c43bd1c63bbea864133d2923755aa2f74440
  • aa25ae2f9dbe514169f4526ef4a61c1feeb1386a
  • 444c704afe4ee33d335bbdfae79b58aba077d10d
  • db7d1545c3c7e60235700af672c1d20175b380cd
  • 445294080bf3f58e9aaa3c9bcf1f346bc9b1eccb
  • da2caf36b52d81a0d983407ab143bef8df119b8d
  • deea45010006c8bde12a800d73475a5824ca2e6f

SHA256

  • 5bc00ad792d4ddac7d8568f98a717caff9d5ef389ed355a15b892cc10ab2887b
  • 4a76a28498b7f391cdc2be73124b4225497232540247ca3662abd9ab2210be36
  • 3bb2f8c2d2d1c8da2a2051bd9621099689c5cd0a6b12aa8cb5739759e843e5e6
  • 2c2513e17a23676495f793584d7165900130ed4e8cccf72d9d20078e27770e04
  • 6f6f71fa3a83da86d2aba79c92664d335acb9d581646fa6e30c35e76cf61cbb7
  • 84f016ece77ddd7d611ffc0cbb2ce24184aeee3a2fdbb9d44d0837bc533ba238
  • b6c11d4a4af4ad4919b1063184ee4fe86a5b4b2b50b53b4e9b9cc282a185afda
  • c140ae0ae0d71c2ebaf956c92595560e8883a99a3f347dfab2a886a8fb00d4d3
  • b63e94928da25e18caa1506305b9ca3dedc267e747dfa4710860e757d2cc8192
  • 1d64879bf7b1c7aea1d3c2c0171b31a329d026dc4e2f1c876d7ec7cae17bbc58
  • 511c1021fad76670d6d407139e5fef62b34ca9656fb735bd7d406728568fa280
  • faf49653a0f057ed09a75c4dfc01e4d8e6fef203d0102a5947a73db80be0db1d
  • 0f3bb820adf6d3bba54988ef40d8188ae48b34b757277e86728bdb8441d01ea2
  • 0789a9c0a0d4f3422cb4e9b8e64f1ba92f7b88e2edfd14b7b9a7f5eee5135a4f
  • 8d30ab8260760e12a8990866eced1567ced257e0cb2fc9f7d2ea927806435208
  • 2c84b5162ef66c154c66fed1d14f348e5e0054dff486a63f0473165fdbee9b2e
  • 116e8c1d09627c0330987c36201100da2b93bf27560478be4043c1a834ad8913
  • 99a732c0512bc415668cc3a699128618f02bf154ff8641821c3207b999952533
  • f72c47948a2cb2cd445135bc65c6bf5c0aaacc262ee9c04d1483781355cda976
  • f8136eb39ee8638f9eb1acf49b1e10ce73e96583a885e4376d897ab255b39bd6
  • 79e25568a8aeec71d18adc07cdb87602bc2c6048e04daff1eb67e45f94887efc
  • d44c065f04fe13bd51ba5469baa9077efb541d849ad298043739e08b7a90008f
  • 239d1c7cfd5b244b10c56abbf966f226e6a0cb91800e9c683ba427641e642f10
  • 7522b6de340a68881d11aa05e2c6770152e2d49ca5b830821ffce533fad948fd
  • 5bc00ad792d4ddac7d8568f98a717caff9d5ef389ed355a15b892cc10ab2887b
Добавить комментарий