Nokoyawa Ransomware IOCs - Part 3

ransomware IOC
Опубликовано

Ранее DFIR Report сообщал о случае с программой Nokoyawa ransomware, в котором первоначальный доступ осуществлялся с помощью макроса Excel и вредоносной программы IcedID. В этом случае, который также завершился появлением Nokoyawa Ransomware, угрожающий агент развернул окончательный вариант ransomware всего через 12 часов после первоначальной компрометации.


В ноябре 2022 года этот злоумышленник доставил организациям защищенный паролем ZIP-файл с помощью HTML-контрабанды. Внутри защищенного паролем ZIP-файла находился ISO-файл, в котором был развернут IcedID, что привело к использованию Cobalt Strike и, в конечном итоге, Nokoyawa ransomware. Этот случай вторжения также пересекается с предыдущим случаем с Nokoyawa ransomware.

Indicators of Compromise

IPv4 Port Combinations

  • 159.89.12.125:80
  • 5.8.18.242:443

Domains

  • pikchayola.pics
  • questdisar.com
  • trentonkaizerfak.com

MD5

  • 14f37c8690dda318f9e9f63196169510
  • 385d21c0438f5b21920aa9eb894740d2
  • 40c9dc2897b6b348da88b23deb0d3952
  • 49524219dbd2418e3afb4e49e5f1805e
  • 4f4231ca9e12aafac48a121121c6f940
  • 51e416c3d3be568864994449cd39caa1
  • 586fe6d361ef5208fad28c5ff8a4579b
  • 9740f2b8aeacc180d32fc79c46333178
  • c8bdc984a651fa2e4f1df7df1118178b
  • ebf6f4683d8392add3ef32de1edf29c4

SHA1

  • 0f5457b123e60636623f585cc2bf2729f13a95d6
  • 306e4ede6c7ea75ef5841f052f9c40e3a761c177
  • 444c704afe4ee33d335bbdfae79b58aba077d10d
  • 5d2c17799dfc6717f89cd5f63951829aed038041
  • 7bd217554749f0f3c31957a37fc70d0a86e71fc3
  • b8cb71c48a7d76949c93418ddd0bcae587bef6cc
  • bf4177381235393279e7cdfd45a3fa497b7b8a96
  • c599c32d6674c01d65bff6c7710e94b6d1f36869
  • ee1c5e9f1257fbda3b174d534d06dddf435d3327
  • f62b155ab929b7808de693620d2e9f07a9293926

SHA256

  • 2c2513e17a23676495f793584d7165900130ed4e8cccf72d9d20078e27770e04
  • 31cd7f14a9b945164e0f216c2d540ac87279b6c8befaba1f0813fbad5252248b
  • 364d346da8e398a89d3542600cbc72984b857df3d20a6dc37879f14e5e173522
  • 57842fe8723ed6ebdf7fc17fc341909ad05a7a4feec8bdb5e062882da29fa1a8
  • 7095beafff5837070a89407c1bf3c6acf8221ed786e0697f6c578d4c3de0efd6
  • be604dc018712b1b1a0802f4ec5a35b29aab839f86343fc4b6f2cb784d58f901
  • c6294ebb7d2540ee7064c60d361afb54f637370287983c7e5e1e46115613169a
  • d3db55cd5677b176eb837a536b53ed8c5eabbfd68f64b88dd083dc9ce9ffb64e
  • e351ba5e50743215e8e99b5f260671ca8766886f69d84eabb83e99d55884bc2f
  • e71772b0518fa9bc6dddd370de2d6b0869671264591d377cdad703fa5a75c338
Похожие записи:
  1. BlackCat/ALPHV Ransomware IOCs
  2. Nokoyawa Ransomware IOCs
  3. Monster Libra APT IOCs
  4. Black Basta Ransomware IOCs - Part 7
  5. HTML Smuggling: Скрытая угроза в вашем почтовом ящике
Cobalt Strike IcedID Nokoyawa Ransomware
Добавить комментарий