Truebot Botnet IOCs - Part 3

botnet IOC

Агентство по кибербезопасности и защите инфраструктуры (CISA), Федеральное бюро расследований (ФБР), Многоштатный центр обмена информацией и анализа (MS-ISAC) и Канадский центр кибербезопасности (CCCS) выпускают это совместное информационное сообщение по кибербезопасности (CSA) в ответ на использование субъектами киберугроз новых выявленных вариантов вредоносного ПО Truebot против организаций в США и Канаде.

Начиная с 31 мая 2023 года, организации-авторы наблюдали увеличение числа субъектов киберугроз, использующих новые варианты вредоносного ПО Truebot (также известного как Silence.Downloader).

Truebot - это ботнет, который использовался вредоносными кибергруппами, такими как CL0P Ransomware Gang, для сбора и утечки информации от своих жертв.

Предыдущие варианты вредоносного ПО Truebot в основном доставлялись субъектами киберугроз через вредоносные фишинговые вложения электронной почты; однако новые версии позволяют субъектам киберугроз также получить первоначальный доступ через эксплуатацию CVE-2022-31199  (уязвимость удаленного выполнения кода в приложении Netwrix Auditor), что позволяет развернуть вредоносное ПО в масштабах скомпрометированной среды. Основываясь на данных из открытых источников и аналитических данных о вариантах Truebot, организации-авторы считают, что субъекты киберугроз используют как фишинговые кампании с вредоносными гиперссылками, так и CVE-2022-31199 для распространения новых вариантов вредоносного ПО Truebot.

Indicators of Compromise

IPv4

  • 139.60.160.166
  • 179.60.150.139
  • 193.3.19.173
  • 45.182.189.103
  • 45.182.189.119
  • 45.182.189.120
  • 45.182.189.228
  • 45.182.189.229
  • 45.182.189.71
  • 45.182.189.91
  • 45.227.253.102
  • 46.161.40.128
  • 5.188.206.78
  • 5.188.86.18
  • 81.19.135.30
  • 88.214.27.100
  • 88.214.27.101
  • 92.118.36.199
  • 92.118.36.213
  • 92.118.36.252
  • 94.142.138.61

Domains

  • Atexec.py
  • ber6vjyb.com
  • bluespiredice.com
  • dragonetzone.com
  • dremmfyttrred.com
  • Ecorfan.org
  • Essadonio.com
  • fuanshizmo.com
  • guerdofest.com
  • hiperfdhaus.com
  • Hrcbishtek.com
  • jirostrogud.com
  • midnigthwaall.com
  • ms-online-store.com
  • nefosferta.com
  • nitutdra.com
  • nomoresense.com
  • qweastradoc.com
  • romidonionhhgtt.com
  • ronoliffuion.com
  • rprotecruuio.com

URLs

  • http://nefosferta.com/gate.php
  • http://qweastradoc.com/gate.php
  • https://ber6vjyb.com/dns.php
  • https://corporacionhardsoft.com/images/2/Document_16654.exe
  • https://dragonetzone.com/gate_info.php

MD5

  • 6164e9d297d29aa8682971259da06848
  • 72a589da586844d7f0818ce684948eea
  • a0e9f5d64349fb13191bc781f81f42e1
  • f14f2862ee2df5d0f63a88b60c8eee56
  • f176ba63b4d68e576b5ba345bec2c7b7
  • f33734dfbbff29f68bcde052e523c287

SHA256

  • 092910024190a2521f21658be849c4ac9ae6fa4d5f2ecd44c9055cc353a26875
  • 0e3a14638456f4451fe8d76fdc04e591fba942c2f16da31857ca66293a58a4c3
  • 121a1f64fff22c4bfcef3f11a23956ed403cdeb9bdb803f9c42763087bd6d94e
  • 1ef8cdbd3773bd82e5be25d4ba61e5e59371c6331726842107c0f1eb7d4d1f49
  • 22e3f4602a258e92a0b8deb5a2bd69c67f4ac3ca67362a745178848a9da7a3cc
  • 2d50b03a92445ba53ae147d0b97c494858c86a56fe037c44bc0edabb902420f7
  • 32ae88cddeeeec255d6d9c827f6bffc7a95e9ea7b83a84a79ff793735a4b4ed7
  • 36d89f0455c95f9b00a8cea843003d0b53c4e33431fe57b5e6ec14a6c2e00e99
  • 47f962063b42de277cd8d22550ae47b1787a39aa6f537c5408a59b5b76ed0464
  • 4862618fcf15ba4ad15df35a8dcb0bdb79647b455fea6c6937c7d050815494b0
  • 55d1480cd023b74f10692c689b56e7fd6cc8139fb6322762181daead55a62b9e
  • 594ade1fb42e93e64afc96f13824b3dbd942a2cdbc877a7006c248a38425bbc1
  • 5cc8c9f2c9cee543ebac306951e30e63eff3ee103c62dadcd2ce43ef68bc7487
  • 6210a9f5a5e1dc27e68ecd61c092d2667609e318a95b5dade3c28f5634a89727
  • 68a86858b4638b43d63e8e2aaec15a9ebd8fc14d460dd74463db42e59c4c6f89
  • 6b646641c823414c2ee30ae8b91be3421e4f13fa98e2d99272956e61eecfc5a1
  • 717beedcd2431785a0f59d194e47970e9544fbf398d462a305f6ad9a1b1100cb
  • 72813522a065e106ac10aa96e835c47aa9f34e981db20fa46a8f36c4543bb85d
  • 7a64bc69b60e3cd3fd00d4424b411394465640f499e56563447fe70579ccdd00
  • 7c607eca4005ba6415e09135ef38033bb0b0e0ff3e46d60253fc420af7519347
  • 7c79ec3f5c1a280ffdf19d0000b4bfe458a3b9380c152c1e130a89de3fe04b63
  • 7d75244449fb5c25d8f196a43a6eb9e453652b2185392376e7d44c21bd8431e7
  • 7e39dcd15307e7de862b9b42bf556f2836bf7916faab0604a052c82c19e306ca
  • 80b9c5ec798e7bbd71bbdfffab11653f36a7a30e51de3a72c5213eafe65965d9
  • 97bae3587f1d2fd35f24eb214b9dd6eed95744bed62468d998c7ef55ff8726d4
  • 97d0844ce9928e32b11706e06bf2c4426204d998cb39964dd3c3de6c5223fff0
  • a30e1f87b78d1cd529fbe2afdd679c8241d3baab175b2f083740263911a85304
  • a67df0a8b32bdc5f9d224db118b3153f66518737e702314873b673c914b2bb5c
  • b95a764820e918f42b664f3c9a96141e2d7d7d228da0edf151617fabdd9166cf
  • bf3c7f0ba324c96c9a9bff6cf21650a4b78edbc0076c68a9a125ebcba0e523c9
  • c042ad2947caf4449295a51f9d640d722b5a6ec6957523ebf68cddb87ef3545c
  • c0f8aeeb2d11c6e751ee87c40ee609aceb1c1036706a5af0d3d78738b6cc4125
  • c3743a8c944f5c9b17528418bf49b153b978946838f56e5fca0a3f6914bee887
  • c3b3640ddf53b26f4ebd4eedf929540edb452c413ca54d0d21cc405c7263f490
  • c6c4f690f0d15b96034b4258bdfaf797432a3ec4f73fbc920384d27903143cb0
  • c92c158d7c37fea795114fa6491fe5f145ad2f8c08776b18ae79db811e8e36a3
  • c9b874d54c18e895face055eeb6faa2da7965a336d70303d0bd6047bec27a29d
  • d5bbcaa0c3eeea17f12a5cc3dbcaffff423d00562acb694561841bcfe984a3b7
  • e0178ab0893a4f25c68ded11e74ad90403443e413413501d138e0b08a910471e
  • ed38c454575879c2546e5fccace0b16a701c403dfe3c3833730d23b32e41f2fe
  • f9f649cb5de27f720d58aa44aec6d0419e3e89f453730e155067506ad3ece638
  • fe746402c74ac329231ae1b5dffa8229b509f4c15a0f5085617f14f0c1579040
  • ff8c8c8bfba5f2ba2f8003255949678df209dbff95e16f2f3c338cfa0fd1b885
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий