Ранее DFIR Report сообщал о случае с программой Nokoyawa ransomware, в котором первоначальный доступ осуществлялся с помощью макроса Excel и вредоносной программы IcedID. В этом случае, который также завершился появлением Nokoyawa Ransomware, угрожающий агент развернул окончательный вариант ransomware всего через 12 часов после первоначальной компрометации.
В ноябре 2022 года этот злоумышленник доставил организациям защищенный паролем ZIP-файл с помощью HTML-контрабанды. Внутри защищенного паролем ZIP-файла находился ISO-файл, в котором был развернут IcedID, что привело к использованию Cobalt Strike и, в конечном итоге, Nokoyawa ransomware. Этот случай вторжения также пересекается с предыдущим случаем с Nokoyawa ransomware.
Indicators of Compromise
IPv4 Port Combinations
- 159.89.12.125:80
- 5.8.18.242:443
Domains
- pikchayola.pics
- questdisar.com
- trentonkaizerfak.com
MD5
- 14f37c8690dda318f9e9f63196169510
- 385d21c0438f5b21920aa9eb894740d2
- 40c9dc2897b6b348da88b23deb0d3952
- 49524219dbd2418e3afb4e49e5f1805e
- 4f4231ca9e12aafac48a121121c6f940
- 51e416c3d3be568864994449cd39caa1
- 586fe6d361ef5208fad28c5ff8a4579b
- 9740f2b8aeacc180d32fc79c46333178
- c8bdc984a651fa2e4f1df7df1118178b
- ebf6f4683d8392add3ef32de1edf29c4
SHA1
- 0f5457b123e60636623f585cc2bf2729f13a95d6
- 306e4ede6c7ea75ef5841f052f9c40e3a761c177
- 444c704afe4ee33d335bbdfae79b58aba077d10d
- 5d2c17799dfc6717f89cd5f63951829aed038041
- 7bd217554749f0f3c31957a37fc70d0a86e71fc3
- b8cb71c48a7d76949c93418ddd0bcae587bef6cc
- bf4177381235393279e7cdfd45a3fa497b7b8a96
- c599c32d6674c01d65bff6c7710e94b6d1f36869
- ee1c5e9f1257fbda3b174d534d06dddf435d3327
- f62b155ab929b7808de693620d2e9f07a9293926
SHA256
- 2c2513e17a23676495f793584d7165900130ed4e8cccf72d9d20078e27770e04
- 31cd7f14a9b945164e0f216c2d540ac87279b6c8befaba1f0813fbad5252248b
- 364d346da8e398a89d3542600cbc72984b857df3d20a6dc37879f14e5e173522
- 57842fe8723ed6ebdf7fc17fc341909ad05a7a4feec8bdb5e062882da29fa1a8
- 7095beafff5837070a89407c1bf3c6acf8221ed786e0697f6c578d4c3de0efd6
- be604dc018712b1b1a0802f4ec5a35b29aab839f86343fc4b6f2cb784d58f901
- c6294ebb7d2540ee7064c60d361afb54f637370287983c7e5e1e46115613169a
- d3db55cd5677b176eb837a536b53ed8c5eabbfd68f64b88dd083dc9ce9ffb64e
- e351ba5e50743215e8e99b5f260671ca8766886f69d84eabb83e99d55884bc2f
- e71772b0518fa9bc6dddd370de2d6b0869671264591d377cdad703fa5a75c338