Команда PRODAFT Threat Intelligence (PTI) собрала этот отчет, чтобы предоставить знания о Wizard Spider. Большая часть усилий Wizard Spider направлена на взлом европейских и американских предприятий, при этом некоторые злоумышленники используют специальный инструмент для взлома особо важных целей. Часть денег, которые они получают, возвращается в проект для разработки новых инструментов и талантов.
Wizard Spider
Wizard Spider - киберпреступная группа, которая использует ряд сложных вариантов вредоносного ПО в своих атаках.
Атака группы начинается с массовой спам-кампании с использованием QBot и прокси-вредоносного ПО (SystemBC) с помощью скомпрометированной деловой электронной почты.
разговоров. Затем другая команда использует выборку на основе домена, чтобы определить ценные целей для требования выкупа и развертывания Cobalt Strike для латерального перемещения.
Если группа вторжения успешно получает привилегии администратора домена, она развертывает штамм Conti's штамм вымогательского ПО.
Indicators of Compromise
IPv4
- 103.195.101.254
- 104.171.123.110
- 104.194.11.220
- 104.194.9.196
- 104.243.32.108
- 104.243.33.253
- 104.243.34.234
- 104.243.37.150
- 104.243.38.69
- 104.243.40.150
- 104.243.40.249
- 104.243.41.56
- 104.243.42.138
- 104.243.42.187
- 104.243.46.66
- 141.94.143.79
- 141.94.162.156
- 162.248.246.186
- 162.248.246.214
- 172.93.101.26
- 172.93.103.50
- 185.253.96.117
- 192.111.154.58
- 199.127.63.16
- 209.222.97.162
- 23.106.215.66
- 23.82.140.32
- 45.147.160.196
- 45.147.160.5
- 46.148.235.93
- 51.178.131.228
- 51.91.7.70
- 62.241.225.192
- 85.25.246.169
- 185.150.191.44
- 192.198.86.130
- 192.198.88.110
- 199.127.61.113
- 199.127.63.194
- 206.221.180.186
- 45.58.124.98
- 5.199.162.14
Domains
- cupertinosmile.com
- xeyaze.com
- bajanoh.com
- barovur.com
- bebiyib.com
- befatu.com
- bejafek.com
- cirite.com
- cufeze.com
- divayuw.com
- diyexake.com
- fedugig.com
- gefugowej.com
- gihevu.com
- gojahuteh.com
- guvafe.com
- haxiwiz.com
- hayutawewe.com
- hiduwu.com
- hivazaku.com
- hotofebax.com
- hoyahe.com
- hubojo.com
- kakezik.com
- kefugev.com
- kelezel.com
- kikadin.com
- labavad.com
- laseku.com
- lawapuyal.com
- lihafedava.com
- luxisew.com
- luyilehuse.com
- mayiwil.com
- mihojip.com
- minogohacu.com
- mujegili.com
- nurahu.com
- payufe.com
- pelowitoye.com
- pisofatiwi.com
- raniyev.com
- refebi.com
- rehuwejuf.com
- ribotekuso.com
- samanudi.com
- sawamini.com
- semofuy.com
- subopofaz.com
- tacigi.com
- tomezica.com
- totupuz.com
- tovuvil.com
- tumutusova.com
- vakomoyan.com
- viyilonip.com
- vojexe.com
- wakacuk.com
- wezeriw.com
- woginud.com
- wokubaxute.com
- woxoporiz.com
- xarovaw.com
- xicetigi.com
- xihumiha.com
- xoperuz.com
- xuyegey.com
- yawero.com
- yipujufaj.com
- yuxicu.com
- yuxububo.com
- zolewiso.com
- zupijaz.com
MD5
- b50feea60b2caf7b4566b5c12f1d8cd7
- 958a6a2237fcf5cd9d64f9dd3cd8c45f
- 0df0bbe98e2f9502362d8e4e20dc3251
- cd1d39cd2719b0bf4f6022665b59ce5f
- 44a9346496911307cda7480a340039af
- 07c805af5a18ca017be3bd849273fd24
- 7bcf458ae5ca667fcdb5f033594e8c76
- 42b2201b3dcdec3c3c47bd3111865fbd
SHA1
- 6263f5c1ec3dd4f85bfddf2b8dcaae2619272ff7
- bed42081aac6e6e4010f64a1e397fa0cb92b57d7
- 5d0ca18052ba178bb9c907d73d7e0016ddc5aeea
- 15329bea37ef2f759beaa5e2465bf27ed30c4f69
- fff51a99be3c60dbecbcdef92d1f57d180bf5672
- 473e28830bd7d08bacce6a641d86153bb7a11574
- 4fbc8491254152ee8f408e8ed7b21758dc8dbc3d
- fff914f4c10a666a0113fb24ca4221cb2b951a39
SHA256
- 66e66cd3ec6f39b483ed7b48ca02a6a4917129f62f800c6033c4f78f2f9282f5
- 799fa73ddf4a98d0d71f213c3a70675af3ac42db0531f5d2e4ae7c81256a4549
- 29d9613a1668a93d813d662b5ef5e282ac81acddc6b4d9e0a2157c84b74c85f6
- 992c4f7a005566abed8e1a419c9fb6af16c617bdaa3e1605cb69fda5f8a789a3
- 34b223e6593efe3ce49d203de01d8cb501524ef445a3f735bb17850d875266d7
- f2c7bb181ca14dc874739cc13849c2d015c9b8be65a17fa19590e7a470c8e071
- ce4b41c4783a6060f32e2aad72102dee1bd0b286d3c604158793999ca148505c
- 4fc1d216bc0c511f652fa5cff64628adf7dd7ad372b66403521ae1b8afaa3d1d
Technical report