LockBit 3.0 Ransomware IOCs - Part 5

ransomware IOC
Опубликовано

CISA, ФБР, MS-ISAC и Австралийский центр кибербезопасности Австралийского управления связи (ASD's ACSC) выпускают данный CSA с целью распространения IOC, TTP и методов обнаружения, связанных с программой-вымогателем LockBit 3.0, использующей CVE-2023-4966, обозначенный как Citrix Bleed, и поражающей устройства Citrix NetScaler Web Application Delivery Control (ADC) и NetScaler Gateway.


В настоящем CSA представлены ТТП и МОК, полученные от ФБР, ACSC и добровольно предоставленные компанией Boeing. Компания Boeing наблюдала, как аффилированные лица LockBit 3.0 использовали CVE-2023-4966 для получения первоначального доступа к Boeing Distribution Inc., своему бизнесу по производству запчастей и дистрибуции, который работает в отдельной среде. Другие доверенные третьи стороны отметили аналогичную активность в своих организациях.

В прошлом атаки группировки LockBit 3.0 проводились на организации различного масштаба в различных секторах критической инфраструктуры, включая образование, энергетику, финансовые услуги, пищевую промышленность и сельское хозяйство, государственные и аварийные службы, здравоохранение, производство и транспорт.

Наблюдаемые TTP для атак с использованием вымогательского ПО LockBit могут существенно различаться по наблюдаемым TTP.

Citrix Bleed, который, как известно, используется партнерами LockBit 3.0, позволяет атакующим обойти требования к паролю и многофакторной аутентификации (MFA), что приводит к успешному перехвату сессий легитимных пользователей на устройствах управления доставкой веб-приложений (ADC) и шлюзах Citrix NetScaler. В результате захвата сеансов легитимных пользователей злоумышленники получают повышенные полномочия для сбора учетных данных, перемещения в пространстве и доступа к данным и ресурсам.

Indicators of Compromise

IPv4

  • 141.98.9.137
  • 168.100.9.137
  • 185.17.40.178
  • 185.229.191.41
  • 193.201.9.224
  • 206.188.197.22
  • 45.129.137.233
  • 51.91.79.17
  • 62.233.50.25
  • 81.19.135.219
  • 81.19.135.220
  • 81.19.135.226

Domains

  • adobe-us-updatefiles.digital

URLs

  • http://62.233.50.25/en-us/docs.html
  • http://62.233.50.25/en-us/test.html
  • https://adobe-us-updatefiles.digital/123.ps1

SHA256

  • 17a27b1759f10d1f6f1f51a11c0efea550e2075c2c394259af4d3f855bbcc994
  • 906602ea3c887af67bcb4531bbbb459d7c24a2efcb866bcb1e3b028a51f12ae6
  • 98e79f95cf8de8ace88bf223421db5dce303b112152d66ffdf27ebdfcdf967e9
  • cc21c77e1ee7e916c9c48194fad083b2d4b2023df703e544ffb2d6a0bfc90a63
  • e557e1440e394537cca71ed3d61372106c3c70eb6ef9f07521768f23a0974068
  • ed5d694d561c97b4d70efe934936286fe562addf7d6836f795b336d9791a5c44
Похожие записи:
  1. Snatch Ransomware IOCs
  2. LockBit Ransomware IOCs
  3. LockBit 2.0 Ransomware IOCs
  4. LockBit 2.0 Ransomware IOCs - Part 2
  5. LockBit 3.0 Ransomware IOCs
CISA CVE-2023-4966 FBI LockBit MS-ISAC Ransomware
Добавить комментарий