WhiteSnake Stealer IOCs

Spyware IOC
Опубликовано

Пакеты nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends и TestLibs111 - демонстрируют методы атаки, схожие с теми, что были описаны в блоге Checkmarx, опубликованном четыре месяца назад. Сходство указывает на возможную связь с вредоносной кампанией начала 2023 года. Примечательно, что эти пакеты включают в свои файлы setup.py исходный код PE или других Python-скриптов в base64-кодировке. В зависимости от операционной системы устройства-жертвы, при установке этих Python-пакетов происходит сброс и выполнение конечной вредоносной полезной нагрузки.

Пакеты, выпущенные до декабря 2023 года, очень похожи на те, что обсуждались в предыдущих статьях блога. В частности, они разворачивают вредоносное ПО Whitesnake PE, если устройство жертвы работает под управлением Windows, или могут поставлять сценарий Python, предназначенный для кражи информации с устройств под управлением Linux. Тонкое различие заключается в новом методе, который теперь используется скриптом Python для передачи украденных данных. Вместо того чтобы полагаться на один фиксированный URL-адрес, новые варианты вредоносного ПО используют в качестве адреса назначения целый ряд IP-адресов, что, вероятно, гарантирует успешную передачу данных даже в случае сбоя одного сервера.

В отличие от предыдущих атак, направленных как на пользователей Windows, так и на пользователей Linux, последний набор пакетов преимущественно нацелен на пользователей Windows. Хотя исполняемая полезная нагрузка каждого пакета несколько отличается друг от друга, они неизменно нацелены на утечку конфиденциальной информации от жертв.

Indicators of Compromise

IPv4

  • 194.36.177.30

IPv4 Port Combinations

  • 103.226.125.218:80
  • 103.244.151.46:8080
  • 104.184.140.41:9000
  • 106.15.66.6:8080
  • 107.161.20.142:8080
  • 116.202.101.219:8080
  • 116.203.194.247:8080
  • 121.63.250.132:88
  • 129.151.109.160:8080
  • 129.159.134.19:8080
  • 13.112.250.213:443
  • 135.181.98.45:8888
  • 139.84.231.199:8080
  • 139.99.123.53:9191
  • 141.94.175.31:8098
  • 154.31.165.232:80
  • 162.33.178.113:80
  • 164.90.185.9:443
  • 168.138.211.88:8099
  • 18.218.18.183:80
  • 18.228.80.130:80
  • 185.216.26.127:8080
  • 185.217.98.121:443
  • 185.217.98.121:80
  • 189.115.63.77:8080
  • 192.99.196.191:443
  • 192.99.44.107:8080
  • 205.185.123.66:8080
  • 206.189.109.146:80
  • 216.250.190.139:80
  • 216.39.242.18:8080
  • 217.145.238.175:80
  • 24.199.110.250:8080
  • 3.142.76.113:80
  • 35.166.49.216:8080
  • 44.228.161.50:443
  • 45.155.171.134:8080
  • 47.96.78.224:8080
  • 5.78.68.6:8009
  • 52.196.241.27:443
  • 52.86.18.77:8080
  • 54.92.18.154:443
  • 65.108.226.108:8080
  • 65.20.76.112:80
  • 78.46.66.9:8080
  • 94.156.6.209:80
  • 95.140.147.126:8080

SHA256

  • 03a1621af484ff8f5c1797b25426bab656b6731dba43e31fe58fc1f1963d8484
  • 0e13bb49aba0878b919bc0980ce2e9e3cfa876387fcedf5af41235ab0f7a440a
  • 14cd40cce030bfca6a4c06fdadd353b5eaa092e7f73ba65308afedc04270c9b9
  • 24e07dd8c4a6fb92d842ebc168a40505bbd0421a16c13a06571910ca7a40a5a5
  • 2b617277fc551b7500867ee009a0f80cbe6d5ee729bdfbf9b4f9d52164811082
  • 34e5bd67fbd9a7040dca9cae90e36013aaeda1940bb39e7fcd5d5fa9c85cadc8
  • 377e8ca04aed57a10b350d9eb4a6e64818bb69b790f33db4be0fd22589c435ad
  • 3dcff80475ebfb9a3aa93f3cebd8f008ea64d857a7c53719f1ca047dfd050e1c
  • 41ff3fedb78c672c6d0e5e849f81c8be10c0767558fcfdf6f529215556354d9e
  • 4fac457f8170e26643d0a4d8a0199e93d72872e1799e95f5c522a50754982079
  • 6fe87ab0590229d11f2d174bcf13cfbaca6f6c9dc55af84527c96de16c12c799
  • 857bc70fb5968b9f5e257e41f4be9cdd8c7135314bf6200e2cf5b60186401e7a
  • 8bdc674e3a41370a2d0a997b6ca673c6d646ed580400af242980a5ec374864a2
  • 8fb72c3a6a5d96f91c3dc46541331ebf0a6cf326d2353ab6f2b1c119e9907670
  • 94be6da31c5f896017af733a44b9ea00abbb35bce0a8dbcab776367234e4d818
  • ab75ea75d1fe5bc51ecef274a95f7b835b09a0c7c95c4227366a3d64b5dee7c0
  • b2bf755c4e1336f5ab36bc679d4a86e4c0d4da7b33a26b9ec8c01e179027f66b
  • c53d1387864ea3034bc4e19af492b3e67147d3fdc1d8b9752e24600d6919e3af
  • c9e0b8c6c5140acae2b3bf003d9ae2a69abf04253b0bd932ec97c732a4b9bf97
  • d9568da21005794d80eb6572ccce47cc766ba5fe24b2b82cd4ff2cf05d8531a2
  • da0c21c66fd0dc42b1bcb06c9bd0d7e48b1b866720229712df64410eebd62199
  • dc5b74c1007bbe9acce3cddf30870766867b40e7d37264b7bdaf3b5f40747c10
  • ec9e1342b0bddbd0ef65cd37a751b3a8c3c8170cdd8cce0f0fb6815b6be26a45
  • ef0e1a8378d1dd9e3cfd0d59d1969b618e15ddb4bbfaf50057670842004346e8
  • f1f6501a97b9145d8dd755d25a39c1803fe54995a39fd59b2914f591d56bdc68
  • f22110ea2376082651f5f0724875e6f9d083e2be0688dc06b59206c35fa50def
Похожие записи:
  1. Formbook Stealer IOCs - Part 4
  2. Redline Stealer IOCs - Part 9
  3. Атака на цепочки поставок с помощью нового вредоносного пакета Python, "web3-essential"
  4. Атака на цепочки поставок с помощью новых вредоносных пакетов Python
  5. EvilExtractor Stealer IOCs
FortiGuard Labs PyPI Stealer WhiteSnake
Добавить комментарий