Bumblebee Malware IOCs - Part 4

Исследуя инфраструктуру, связанную с загрузчиком вредоносного ПО BUMBLEBEE, RiskIQ наткнулись на два подозрительных домена и несколько поддоменов, имитирующих Fortinet.

Bumblebee Malware

• Bumblebee Loader IOCs - Part 1
• Bumblebee Malware IOCs - Part 2
• Bumblebee Malware IOCs - Part 3

Домен fortigate.me размещен по адресу 23.82.19.208 вместе с несколькими поддоменами. Этот IP-адрес был указан среди командно-контрольных серверов BUMBLEBEE, о которых NCC Group сообщила 2022/04/29. Домен fortigate.me был зарегистрирован 2022/05/05 через NameCheap и появился на 23.82.19.208 2022/05/06.

Неясно, имеет ли fortigate.me прямое отношение к BUMBLEBEE или совпадение IP-адресов случайно. 2022/03/17 Группа анализа угроз Google опубликовала статью об EXOTIC LILY (она же FIN12/WIZARD SPIDER) и использовании ими нового загрузчика вредоносного ПО BUMBLEBEE. Они заявили, ссылаясь на цепочку атак EXOTIC LILY:

"Одной из заметных техник является использование подмены домена и идентификационных данных в качестве способа завоевания дополнительного доверия со стороны целевой организации. В большинстве случаев поддельное доменное имя было идентично реальному доменному имени существующей организации, с единственным отличием - изменением TLD на ".us", ".co" или ".biz"".

Домен fortigate.me подходит под эту технику, хотя он использует другой домен верхнего уровня, чем те, которые перечислены Google, а поддельные домены, имитирующие целевые организации, являются широко используемой техникой. Еще одно интересное совпадение, но недостаточное для того, чтобы утверждать, что эта деятельность связана с деятельностью, задокументированной Google.

Поиск по адресу fortigate.me возвращал страницы, скопированные с официального сайта Fortinet fortinet.com.

Indicators of Compromise

IPv4

• 23.82.19.208
• 45.66.151.155

Domains

• fortigate.live
• fortigate.me
• img.fortigate.me
• mta1.fortigate.me
• mta10.fortigate.me
• mta100.fortigate.me
• mta101.fortigate.me
• mta104.fortigate.me
• mta105.fortigate.me
• mta106.fortigate.me
• mta107.fortigate.me
• mta112.fortigate.me
• mta125.fortigate.me
• mta130.fortigate.me
• mta134.fortigate.me
• mta135.fortigate.me
• mta137.fortigate.me
• mta14.fortigate.me
• mta144.fortigate.me
• mta148.fortigate.me
• mta149.fortigate.me
• mta150.fortigate.me
• mta151.fortigate.me
• mta153.fortigate.me
• mta16.fortigate.me
• mta162.fortigate.me
• mta164.fortigate.me
• mta166.fortigate.me
• mta169.fortigate.me
• mta170.fortigate.me
• mta176.fortigate.me
• mta177.fortigate.me
• mta179.fortigate.me
• mta180.fortigate.me
• mta181.fortigate.me
• mta182.fortigate.me
• mta184.fortigate.me
• mta186.fortigate.me
• mta187.fortigate.me
• mta188.fortigate.me
• mta190.fortigate.me
• mta191.fortigate.me
• mta192.fortigate.me
• mta194.fortigate.me
• mta196.fortigate.me
• mta199.fortigate.me
• mta2.fortigate.me
• mta201.fortigate.me
• mta204.fortigate.me
• mta205.fortigate.me
• mta207.fortigate.me
• mta208.fortigate.me
• mta209.fortigate.me
• mta211.fortigate.me
• mta212.fortigate.me
• mta213.fortigate.me
• mta214.fortigate.me
• mta215.fortigate.me
• mta217.fortigate.me
• mta221.fortigate.me
• mta222.fortigate.me
• mta232.fortigate.me
• mta233.fortigate.me
• mta236.fortigate.me
• mta237.fortigate.me
• mta238.fortigate.me
• mta242.fortigate.me
• mta244.fortigate.me
• mta245.fortigate.me
• mta28.fortigate.me
• mta29.fortigate.me
• mta32.fortigate.me
• mta33.fortigate.me
• mta35.fortigate.me
• mta38.fortigate.me
• mta41.fortigate.me
• mta42.fortigate.me
• mta44.fortigate.me
• mta46.fortigate.me
• mta47.fortigate.me
• mta49.fortigate.me
• mta56.fortigate.me
• mta60.fortigate.me
• mta62.fortigate.me
• mta75.fortigate.me
• mta84.fortigate.me
• mta85.fortigate.me
• mta88.fortigate.me
• ns1.fortigate.me
• ns2.fortigate.me
• www.fortigate.me