RogueRaticate Campaign IOCs - Part 2

security IOC
Опубликовано

Заражение пользователя происходит через drive-by download с фальшивым экраном обновления (похоже на поведение SocGholish). Первоначальная полезная нагрузка размещается на скомпрометированных сайтах WordPress.

Indicators of Compromise

IPv4 Port Combinations

  • 5.252.178.51:443

Domains

  • propio-ls.com

URls

  • http://5.252.178.51/fakeurl.htm
  • http://geo.netsupportsoftware.com/location/loca.asp
  • https://propio-ls.com/wp-includes/js/wp-emoji-release.min.js?ver=6.3
  • https://www.advisingdealers.com/wp-content/uploads/2017/08/TempPlayerMediaContent.zip
  • https://www.advisingdealers.com/wp-content/uploads/2017/08/xedgeprotocol.exe
  • https://www.advisingdealers.com/wp-content/uploads/2017/09/get_started(upd).zip

Emails

  • abond@propio-ls.com
  • noreply@mail1.propio-ls.com

MD5

  • 6284ea7cf8db507c24bd5b3442d82abb
  • 8d9709ff7d9c83bd376e01912c734f0a
  • 9219e49bf0587272f929422f394d6dbb
  • b959c0946aaa196da427949a2f5426db
Похожие записи:
  1. NetSupport RAT IOCs
  2. NetSupport RAT IOCs - Part 2
  3. NetSupport RAT IOCs - Part 3
  4. NetSupport RAT IOCs - Part 4
  5. NetSupport RAT IOCs - Part 5
NetSupport RogueRaticate
Добавить комментарий