PikaBot Trojan IOCs - Part 10

remote access Trojan IOC
Опубликовано

Группа вторжения Water Curupira, известная по использованию вымогательского ПО Black Basta, применяла Pikabot, вредоносную программу-загрузчик, похожую на Qakbot, в спам-кампаниях на протяжении 2023 года.

Pikabot - это многоступенчатая вредоносная программа с загрузчиком и основным модулем в одном файле, а также расшифрованным шелл-кодом, который расшифровывает другой DLL-файл из его ресурсов. Вредоносная программа получает первоначальный доступ к компьютеру жертвы через спам-письма, содержащие архив или PDF-вложение. В этих письмах используется метод "захвата потока" (thread-hijacking), при котором злоумышленники используют существующие потоки электронной почты и создают письма, которые выглядят так, как будто они предназначены для этого потока, чтобы обмануть получателей и заставить их поверить в то, что они являются легитимными.

Indicators of Compromise

IPv4 Port Combinations

  • 137.220.55.190:2223
  • 139.180.216.25:2967
  • 15.235.202.109:2226
  • 15.235.44.231:5938
  • 15.235.45.155:2221
  • 15.235.47.206:13783
  • 15.235.47.80:23399
  • 154.221.30.136:13724
  • 154.61.75.156:2078
  • 154.92.19.139:2222
  • 158.247.253.155:2225
  • 172.233.156.100:13721
  • 188.26.127.4:13785
  • 210.243.8.247:23399
  • 51.195.232.97:13782
  • 51.68.147.114:2083
  • 51.79.143.215:13783
  • 64.176.5.228:13783
  • 64.176.67.194:2967
  • 65.20.78.68:13721
  • 70.34.209.101:13720

Domains

  • airbusco.net
  • allcompanycenter.com
  • animalsfast.net
  • audsystemecll.net
  • auuditoe.com
  • blockcentersys.net
  • blocknowtech.net
  • bluenetworking.net
  • brendonline.com
  • building4business.net
  • businesforhome.com
  • buyadvisershop.net
  • buzzybeet.net
  • caspercan.com
  • clearsystemwo.net
  • cloudwebstart.net
  • cloudworldst.net
  • conectmeto.net
  • conitreid.com
  • constrtionfirst.com
  • erihudeg.com
  • garbagemoval.com
  • gartenlofti.com
  • gertefin.com
  • getfnewsolutions.com
  • getfnewssolutions.com
  • gift4animals.com
  • investmendvisor.net
  • investmentrealtyhp.net
  • investsystemus.net
  • ionoslaba.com
  • jessvisser.com
  • karmafisker.com
  • kolinileas.com
  • lindacolor.com
  • magementfair.com
  • maluisepaul.com
  • masterunis.net
  • masterunix.net
  • monitorsystem.net
  • monitor-websystem.net
  • mynewbee.net
  • mytrailinvest.net
  • neobeelab.net
  • nutiensel.com
  • prettyanimals.net
  • realeinvestment.net
  • reelsysmoona.net
  • reganter.com
  • ruggioil.com
  • sandelias.com
  • schumacherbar.com
  • seohomee.com
  • septcntr.com
  • settingfir.com
  • softradar.net
  • startupbizaud.net
  • startupbusiness24.net
  • startuptechnologyw.net
  • steamteamdev.net
  • stockinvestlab.net
  • taskthebox.net
  • trailgroupl.net
  • treeauwin.net
  • unitedfrom.com
  • unougn.com
  • wardeli.com
  • welausystem.net
  • wellsystemte.net
  • withclier.com

URLs

  • http://188.34.192.184/76DKN6/Wheez
  • https://brouweres.com:443/vvs49/0.15313287608559223.dat
  • https://brouweres.com:443/vvs49/0.6515179055030298.dat
  • https://brouweres.com:443/vvs49/0.8450027286577588.dat
  • https://brouweres.com:443/vvs49/0.9900618798908114.dat
  • https://lsn.edu.dz/pqis/?aWDzZBatBsyv
  • https://sindicaturadetecate.gob.mx/pe/?IDbHJCMofpEIzDQjrcwNcDqHoiQRnSKZQcA

MD5

  • 222b1793938f507877ee194ba0acd86b
  • 22be88cf8f57d9412eaa40c541f08eb2
  • 2430e3a9d5c97d0184f8af59abda4abb
  • 4deb812eeae3c499530e1bd4f0e108ba
  • 5be9d3aa133d23c439e5181da7450323
  • 7d6a6233a8792ea216a529836c13e923
  • c28f33fee92fd7396fdb5792dea90365
  • de2cab21e6342cf20535b0734d5ca3c0

SHA256

  • 07279c93f0532a4f5bc4617ab3cb30b7c336f71f587e934a5a0e35ce88fbf632
  • 1a12028a0e0ecc32160e5372a45d95e3045421906f2c807b7c4c8f4a85d47469
  • 1d365a8a2e72a81a6ffbc6c0c32b28e580872e57df184c270b4fa47ac8b8bf2b
  • 1dd66462bd11d65247fff82ae81358c9e1b5e1024a953478b8a5de8f5fc5443a
  • 29a12bf2f2ff68027ae042a24f1c1285c6bc4b7a495d3d2a8f565ef67141eca8
  • 2c49ff53d0cf0ea36f34148598b8eacca12a1a654bfc09c4e00d6b60a8ad57fe
  • 2dad1218d4950ba3a84cfce17af2d8d4ece92f623338d49b357ec9d973ecf8a8
  • 33e03a536f869dee3ffa0b1bc8c885f77c50d0a7974b6e9b4041a5a254255c34
  • 3b13380f7dfd615707887f3e8904f432aacdbb111822dd596a44366cb5526624
  • 46e0fe3a942bb1f9aa9cd1b460ca7efa9acddb3c5b2d2bc3b42a87d8463f1c66
  • 4c267d4f7155d7f0686d1ac2ea861eaa926fd41a9d71e8f6952caf24492b376b
  • 6c13985e067cfad583bb1f5751821e649a61a41171a5f95ee9dfd254c04f71a8
  • 6e18eb1884d2a1a20a0d6a4dcdaf1b7ab342271b2de0d0327848f37eb45e785e
  • 6f9b2fdac415c7eb7fcc31c5ff9aac7e6347ddf4747985b7bac4f76a6f9da193
  • 7094f89bf955dfbdcc4de8943af2328aa7475c2fb6af305c76a6df73aff8b1c3
  • 7808be7f2b92c775f6ef047ffc857d8731e75bf486a45fec1c4d199b43c5a6c2
  • 79b1ac4dc5cae6d03548c2ab570e98f9cfb7e4da24480ce3d513b1abdd13bf21
  • 7e85b9d1d09301d8b3f48df44159347d89cb3c798d0436b5e9b060df4072b8c7
  • 8045ea8720b66291e3c00f6fd1925de11241410421851b7cabe4a707875a1004
  • 8514b9d2fe185989d996a2669788910405af5e8fd7102ab3decdd4d727af35df
  • 980e2dccc3b83bab32b13f82091f37a2ffcf302c7fb7e87532c7c618f68c0753
  • b436380d62babc42fa6b3adc592e1b6b0bd05c5cb1b0c08aa5c55eae738729e7
  • ea63ac688aec3ab8920d83617f214922c16aedee341edbe3a18469179555fb21
  • ed4bba5e886871527fa56beb280f222ef0fde97686db00a74ee02c1a44a0094d
  • eead7f5b6f1282ad988238cc8c39292fa99ea416f7793038a20e5caabe93112a
  • fbd63777f81cebd7a9f2f1c7f2a8982499fe4d18b9f4aa4e7ed589ceefac47de
Похожие записи:
  1. PlugX Trojan IOCs - Part 2
  2. PikaBot Trojan IOCs
  3. RedLine/Vidar IOCs
  4. PikaBot Trojan IOCs - Part 2
  5. PikaBot Trojan IOCs - Part 3
Black Basta PikaBot Trend Micro trojan
Добавить комментарий