Wizard Spider APT IOCs

security IOC

Команда PRODAFT Threat Intelligence (PTI) собрала этот отчет, чтобы предоставить знания о Wizard Spider. Большая часть усилий Wizard Spider направлена на взлом европейских и американских предприятий, при этом некоторые злоумышленники используют специальный инструмент для взлома особо важных целей. Часть денег, которые они получают, возвращается в проект для разработки новых инструментов и талантов.

Wizard Spider

Wizard Spider - киберпреступная группа, которая использует ряд сложных вариантов вредоносного ПО в своих атаках.

Атака группы начинается с массовой спам-кампании с использованием QBot и прокси-вредоносного ПО (SystemBC) с помощью скомпрометированной деловой электронной почты.
разговоров. Затем другая команда использует выборку на основе домена, чтобы определить ценные целей для требования выкупа и развертывания Cobalt Strike для латерального перемещения.
Если группа вторжения успешно получает привилегии администратора домена, она развертывает штамм Conti's штамм вымогательского ПО.

Indicators of Compromise

IPv4

  • 103.195.101.254
  • 104.171.123.110
  • 104.194.11.220
  • 104.194.9.196
  • 104.243.32.108
  • 104.243.33.253
  • 104.243.34.234
  • 104.243.37.150
  • 104.243.38.69
  • 104.243.40.150
  • 104.243.40.249
  • 104.243.41.56
  • 104.243.42.138
  • 104.243.42.187
  • 104.243.46.66
  • 141.94.143.79
  • 141.94.162.156
  • 162.248.246.186
  • 162.248.246.214
  • 172.93.101.26
  • 172.93.103.50
  • 185.253.96.117
  • 192.111.154.58
  • 199.127.63.16
  • 209.222.97.162
  • 23.106.215.66
  • 23.82.140.32
  • 45.147.160.196
  • 45.147.160.5
  • 46.148.235.93
  • 51.178.131.228
  • 51.91.7.70
  • 62.241.225.192
  • 85.25.246.169
  • 185.150.191.44
  • 192.198.86.130
  • 192.198.88.110
  • 199.127.61.113
  • 199.127.63.194
  • 206.221.180.186
  • 45.58.124.98
  • 5.199.162.14

Domains

  • cupertinosmile.com
  • xeyaze.com
  • bajanoh.com
  • barovur.com
  • bebiyib.com
  • befatu.com
  • bejafek.com
  • cirite.com
  • cufeze.com
  • divayuw.com
  • diyexake.com
  • fedugig.com
  • gefugowej.com
  • gihevu.com
  • gojahuteh.com
  • guvafe.com
  • haxiwiz.com
  • hayutawewe.com
  • hiduwu.com
  • hivazaku.com
  • hotofebax.com
  • hoyahe.com
  • hubojo.com
  • kakezik.com
  • kefugev.com
  • kelezel.com
  • kikadin.com
  • labavad.com
  • laseku.com
  • lawapuyal.com
  • lihafedava.com
  • luxisew.com
  • luyilehuse.com
  • mayiwil.com
  • mihojip.com
  • minogohacu.com
  • mujegili.com
  • nurahu.com
  • payufe.com
  • pelowitoye.com
  • pisofatiwi.com
  • raniyev.com
  • refebi.com
  • rehuwejuf.com
  • ribotekuso.com
  • samanudi.com
  • sawamini.com
  • semofuy.com
  • subopofaz.com
  • tacigi.com
  • tomezica.com
  • totupuz.com
  • tovuvil.com
  • tumutusova.com
  • vakomoyan.com
  • viyilonip.com
  • vojexe.com
  • wakacuk.com
  • wezeriw.com
  • woginud.com
  • wokubaxute.com
  • woxoporiz.com
  • xarovaw.com
  • xicetigi.com
  • xihumiha.com
  • xoperuz.com
  • xuyegey.com
  • yawero.com
  • yipujufaj.com
  • yuxicu.com
  • yuxububo.com
  • zolewiso.com
  • zupijaz.com

MD5

  • b50feea60b2caf7b4566b5c12f1d8cd7
  • 958a6a2237fcf5cd9d64f9dd3cd8c45f
  • 0df0bbe98e2f9502362d8e4e20dc3251
  • cd1d39cd2719b0bf4f6022665b59ce5f
  • 44a9346496911307cda7480a340039af
  • 07c805af5a18ca017be3bd849273fd24
  • 7bcf458ae5ca667fcdb5f033594e8c76
  • 42b2201b3dcdec3c3c47bd3111865fbd

SHA1

  • 6263f5c1ec3dd4f85bfddf2b8dcaae2619272ff7
  • bed42081aac6e6e4010f64a1e397fa0cb92b57d7
  • 5d0ca18052ba178bb9c907d73d7e0016ddc5aeea
  • 15329bea37ef2f759beaa5e2465bf27ed30c4f69
  • fff51a99be3c60dbecbcdef92d1f57d180bf5672
  • 473e28830bd7d08bacce6a641d86153bb7a11574
  • 4fbc8491254152ee8f408e8ed7b21758dc8dbc3d
  • fff914f4c10a666a0113fb24ca4221cb2b951a39

SHA256

  • 66e66cd3ec6f39b483ed7b48ca02a6a4917129f62f800c6033c4f78f2f9282f5
  • 799fa73ddf4a98d0d71f213c3a70675af3ac42db0531f5d2e4ae7c81256a4549
  • 29d9613a1668a93d813d662b5ef5e282ac81acddc6b4d9e0a2157c84b74c85f6
  • 992c4f7a005566abed8e1a419c9fb6af16c617bdaa3e1605cb69fda5f8a789a3
  • 34b223e6593efe3ce49d203de01d8cb501524ef445a3f735bb17850d875266d7
  • f2c7bb181ca14dc874739cc13849c2d015c9b8be65a17fa19590e7a470c8e071
  • ce4b41c4783a6060f32e2aad72102dee1bd0b286d3c604158793999ca148505c
  • 4fc1d216bc0c511f652fa5cff64628adf7dd7ad372b66403521ae1b8afaa3d1d

Technical report

 

Добавить комментарий