Diicot APT IOCs

security IOC
Опубликовано

Исследователи Cado Labs обнаружили интересную схему атак, приписываемую угрожающему агенту Diicot (ранее "Mexals").


Исследование C2-сервера, используемого Diicot, привело к обнаружению нескольких полезных нагрузок, некоторые из которых не имели публичной отчетности и отсутствовали в общедоступных репозиториях вредоносного ПО. Похоже, что эти полезные нагрузки используются в рамках новой кампании этой новой группы.

Возможности и цели Diicot включают:

  • развертывание самораспространяющегося инструмента начального доступа.
  • использование пользовательских упаковщиков для обфускации двоичных полезных нагрузок
  • Широкомасштабный криптоджекинг на скомпрометированных объектах
  • Выявление уязвимых систем с помощью сканирования Интернета
  • Раскрытие персональных данных предполагаемых врагов (doxxing)
  • Развертывание агента ботнета, замешанного в DDoS-атаках
  • C2-отчетность через Discord и собственную пользовательскую конечную точку API

Indicators of Compromise

IPv4

  • 45.88.67.94
  • 84.54.50.198

IPv4 Port Combinations

  • 139.99.123.196:80
  • 45.88.67.94:7777

Domains

  • arhivehaceru.com

URLs

  • http://pool.supportxmr.com:80
  • https://discord.com/api/webhooks/1100666664623812650/_t9NyLTT_Rbg_Vr14n6YCBkseXrz-RpSe94SFIw-1Pyrkns80tU9uWJL3yjc3eLXo0IU
  • https://discord.com/api/webhooks/1100666766339866694/ex_yUegpCF4NXGkT3sGFp3oWFUkJWE7XarcgTHRcAwmJQtG4pALhcj6PjKUTthNz_0u_
  • https://discord.com/api/webhooks/1100666861424754708/pAzInuz8ekK5DmKyoKxmG4H8euCtLkBXZnS33EGnxdl0_hkL5OdRbInQqgdGiQ1U41WF
  • https://discord.com/api/webhooks/1100669270297419808/UQ2bkUBe9JgAhtEIPYqpqKG6YVRW1fqEkadAY3u6PPmcgEVcYaSRiS37JILi2Vk32or6

SHA256

  • 14779e087a764063d260cafa5c2b93d7ed5e0d19783eeaea6abb12d17561949a
  • 180d30bf357bc4045f197b26b1b8941af9ca0203226a7260092d70dd15f3e6ab
  • 437af650493492c8ef387140b5cb2660044764832d1444e5265a0cd3fe6e0c39
  • 6bce1053f33078f3bbbd526162d9178794c19997536b821177f2cb0d4e6e6896
  • 7389e3aada70d58854e161c98ce8419e7ab8cd93ecd11c2b0ca75c3cafed78cb
  • 7d93419e78647d3cdf2ff53941e8d5714afe09cb826fd2c4be335e83001bdabf
  • a163da5c4d6ee856a06e4e349565e19a704956baeb62987622a2b2c43577cdee
  • aabf2ef1e16a88ae0d802efcb2525edb90a996bb5d280b4c61d2870351e3fba4
  • d0e8a398a903f1443a114fa40860b3db2830488813db9a87ddcc5a8a337edd73
  • de6dff4d3de025b3ac4aff7c4fab0a9ac4410321f4dca59e29a44a4f715a9864
  • e9bbe9aecfaea4c738d95d0329a5da9bd33c04a97779172c7df517e1a808489c
Похожие записи:
  1. WatchDog APT IOCs
  2. Legion: сборщик учетных данных и угонщик SMTP в AWS
  3. Обновления для Legion: Облачный сборщик учетных данных и SMTP-угонщик
Cado Labs Diicot Mexals
Добавить комментарий