DB#JAMMER Campaign IOCs

security IOC
Опубликовано

Угрозы, действующие в рамках атакующих кампаний DB#JAMMER, компрометируют открытые базы данных MSSQL с помощью атак методом грубой силы и, судя по всему, хорошо оснащены и готовы к доставке выкупного ПО и полезной нагрузки Cobalt Strike.

Группа исследования угроз компании Securonix обнаружила угрожающие субъекты, нацеленные на открытые службы Microsoft SQL (MSSQL) с помощью атак методом грубой силы. Отличительной особенностью DB#JAMMER является то, как используется инструментальная инфраструктура и полезная нагрузка злоумышленников.

Среди этих инструментов - программы перечисления, полезные нагрузки RAT, программы эксплуатации и кражи учетных данных, и, наконец, полезные нагрузки ransomware. В качестве вымогательской полезной нагрузки используется новый вариант вымогательской программы Mimic под названием FreeWorld. Текст FreeWorld присутствовал в именах двоичных файлов, а также в расширениях выкупных программ.

В данном случае объектом атаки стал MSSQL-сервер, и злоумышленникам удалось закрепиться на хосте с помощью включенной функции xp_cmdshell, присутствующей на сервере. Получив доступ к серверу, злоумышленники сразу же приступили к перечислению системы и выполнению команд командной строки для ослабления защиты и развертывания инструментов, которые помогли установить постоянство на хосте.

Судя по тому, как быстро злоумышленники приступили к работе, эта атака является достаточно сложной, начиная от инструментария и заканчивая инфраструктурой.

Indicators of Compromise

SHA256

  • 08f827a63228d7bcd0d02dd131c1ae29bc1d9c3619be67ea99d8a62440be57ab
  • 0a2cfffb353b1f14dd696f8e86ea453c49fa3eb35f16e87ff13ecdf875206897
  • 11259f77f4e477cd066008fbfc7c31d5bbdc9ef708c4b255791ee380999a725c
  • 2ac044936a922455c80e93f76cc3e2ce539fdab1af65c0703b57177feb5326a6
  • 2b68fe68104359e1bc044db33b4e88b913e4f5be69da9fd6e87ea59a50311e6e
  • 2d27f57b4f193a563443acc7fe0cbf611f4ff0f1171fcbdf16c3ecef8f9dbedb
  • 42396ce27e22be8c2f0620ee61611d7f86dfe9543d2f2e2af3ef5e85613cee32
  • 4c83e46a29106afbaf5279029d102b489d958781764289b61ab5b618a4307405
  • 569e3b6eac58c4e694a000eb534b1f33508a8b5de8a7ad3749c24727cc878f4d
  • 68ed5f4b4eabd66190ae39b45fff0856fba4b3918b44a6d831a5b9120b48a1e9
  • 74cc7b9f881ca76ca5b7f7d1760e069731c0e438837e66e78aee0812122cb32d
  • 75975b0c890f804dab19f68d7072f8c04c5fe5162d2a4199448fc0e1ad03690b
  • 80bf2731a81c113432f061b397d70cac72d907c39102513abe0f2bae079373e4
  • 867143a1c945e7006740422972f670055e83cc0a99b3fa71b14deababca927fe
  • 8937a510446ed36717bb8180e5e4665c0c5d5bc160046a31b28417c86fb1ba0f
  • 947afaa9cd9c97cabd531541107d9c16885c18df1ad56d97612ddbc628113ab5
  • 95a73b9fda6a1669e6467dcf3e0d92f964ede58789c65082e0b75adf8d774d66
  • 9d576cd022301e7b0c07f8640bdeb55e76fa2eb38f23e4b9e49e2cdba5f8422d
  • a3d865789d2bae26726b6169c4639161137aef72044a1c01647c521f09df2e16
  • bd1c3303d13cadf8bbd6200597e9d365ec3c05f1f48052cd47dcd69e77c94378
  • bec3f75f638025a5fe3b8d278856fd273999c49ae7543c109205879b59afc4c3
  • c576f7f55c4c0304b290b15e70a638b037df15c69577cd6263329c73416e490e
  • cc54096fb8867ff6a4f5a5c7bb8cc795881375031eed2c93e815ec49db6f4bff
  • cd5a2ec1a95d754ee5189bfee6e1f61c76a0a5ee8173da273e02f24a62faccfa
  • e93f3c72a0d605ef0d81e2421cca19534147dba0dded2ee29048b7c2eb11b20a
  • f9f6c453da12c8ff16415c9b696c2e7df95a46e9b07455cd129ce586b954870d
  • fbc9ba3ba7387c38eb9832213b2d87cf5f9fc2ba557e6fdf23556665ca3ef44a
Похожие записи:
  1. OCX#HARVESTER Campaign IOCs
  2. STEPPY#KAVACH IOCs
  3. Bluebottle group IOCs
  4. TrickGate Packer IOCs
  5. Nomadic Octopus APT IOCs
Cobalt Strike DB#JAMMER Securonix
Добавить комментарий