Исследуя инфраструктуру, связанную с загрузчиком вредоносного ПО BUMBLEBEE, RiskIQ наткнулись на два подозрительных домена и несколько поддоменов, имитирующих Fortinet.
Bumblebee Malware
Домен fortigate.me размещен по адресу 23.82.19.208 вместе с несколькими поддоменами. Этот IP-адрес был указан среди командно-контрольных серверов BUMBLEBEE, о которых NCC Group сообщила 2022/04/29. Домен fortigate.me был зарегистрирован 2022/05/05 через NameCheap и появился на 23.82.19.208 2022/05/06.
Неясно, имеет ли fortigate.me прямое отношение к BUMBLEBEE или совпадение IP-адресов случайно. 2022/03/17 Группа анализа угроз Google опубликовала статью об EXOTIC LILY (она же FIN12/WIZARD SPIDER) и использовании ими нового загрузчика вредоносного ПО BUMBLEBEE. Они заявили, ссылаясь на цепочку атак EXOTIC LILY:
"Одной из заметных техник является использование подмены домена и идентификационных данных в качестве способа завоевания дополнительного доверия со стороны целевой организации. В большинстве случаев поддельное доменное имя было идентично реальному доменному имени существующей организации, с единственным отличием - изменением TLD на ".us", ".co" или ".biz"".
Домен fortigate.me подходит под эту технику, хотя он использует другой домен верхнего уровня, чем те, которые перечислены Google, а поддельные домены, имитирующие целевые организации, являются широко используемой техникой. Еще одно интересное совпадение, но недостаточное для того, чтобы утверждать, что эта деятельность связана с деятельностью, задокументированной Google.
Поиск по адресу fortigate.me возвращал страницы, скопированные с официального сайта Fortinet fortinet.com.
Indicators of Compromise
IPv4
- 23.82.19.208
- 45.66.151.155
Domains
- fortigate.live
- fortigate.me
- img.fortigate.me
- mta1.fortigate.me
- mta10.fortigate.me
- mta100.fortigate.me
- mta101.fortigate.me
- mta104.fortigate.me
- mta105.fortigate.me
- mta106.fortigate.me
- mta107.fortigate.me
- mta112.fortigate.me
- mta125.fortigate.me
- mta130.fortigate.me
- mta134.fortigate.me
- mta135.fortigate.me
- mta137.fortigate.me
- mta14.fortigate.me
- mta144.fortigate.me
- mta148.fortigate.me
- mta149.fortigate.me
- mta150.fortigate.me
- mta151.fortigate.me
- mta153.fortigate.me
- mta16.fortigate.me
- mta162.fortigate.me
- mta164.fortigate.me
- mta166.fortigate.me
- mta169.fortigate.me
- mta170.fortigate.me
- mta176.fortigate.me
- mta177.fortigate.me
- mta179.fortigate.me
- mta180.fortigate.me
- mta181.fortigate.me
- mta182.fortigate.me
- mta184.fortigate.me
- mta186.fortigate.me
- mta187.fortigate.me
- mta188.fortigate.me
- mta190.fortigate.me
- mta191.fortigate.me
- mta192.fortigate.me
- mta194.fortigate.me
- mta196.fortigate.me
- mta199.fortigate.me
- mta2.fortigate.me
- mta201.fortigate.me
- mta204.fortigate.me
- mta205.fortigate.me
- mta207.fortigate.me
- mta208.fortigate.me
- mta209.fortigate.me
- mta211.fortigate.me
- mta212.fortigate.me
- mta213.fortigate.me
- mta214.fortigate.me
- mta215.fortigate.me
- mta217.fortigate.me
- mta221.fortigate.me
- mta222.fortigate.me
- mta232.fortigate.me
- mta233.fortigate.me
- mta236.fortigate.me
- mta237.fortigate.me
- mta238.fortigate.me
- mta242.fortigate.me
- mta244.fortigate.me
- mta245.fortigate.me
- mta28.fortigate.me
- mta29.fortigate.me
- mta32.fortigate.me
- mta33.fortigate.me
- mta35.fortigate.me
- mta38.fortigate.me
- mta41.fortigate.me
- mta42.fortigate.me
- mta44.fortigate.me
- mta46.fortigate.me
- mta47.fortigate.me
- mta49.fortigate.me
- mta56.fortigate.me
- mta60.fortigate.me
- mta62.fortigate.me
- mta75.fortigate.me
- mta84.fortigate.me
- mta85.fortigate.me
- mta88.fortigate.me
- ns1.fortigate.me
- ns2.fortigate.me
- www.fortigate.me