DIRTYMOE (PurpleFox) Malware IOCs

security IOC
Опубликовано

CERT-UA приняты меры по оказанию практической помощи государственному предприятию по факту массового поражения ЭВМ организации вредоносной программой DIRTYMOE (PURPLEFOX).

В рамках детального изучения киберугрозы проведено исследование полученных образцов вредоносных программ, установлены особенности функционирования инфраструктуры управляющих серверов и выявлено более 2000 пораженных ЭВМ в украинском сегменте сети Интернет.

Техническая информация

Вредоносное программное обеспечение

DIRTYMOE - модульная вредоносная программа известна более 5 лет. Создает технические возможности для удаленного доступа к компьютеру и, в основном, используется для проведения DDoS-атак и майнинга (но не исключительно). Обычно, первичное поражение осуществляется в результате запуска популярного программного обеспечения, содержащего MSI-инсталлятор. Бекдор оснащен руткитом, что не позволяет удалить компоненты из файловой системы и реестра операционной системы в штатном режиме.

DIRTYMOE имеет функционал для самораспространения путем подбора аутентификационных данных и/или эксплуатации ряда уязвимостей как в отношении компьютеров, находящихся в локальной вычислительной сети, так и ЭВМ по перечню IP-адресов, который формируется по отдельному алгоритму в зависимости от "внешнего" IP-адреса объекта поражения.

С целью обеспечения отказоустойчивости для коммуникации с управляющей инфраструктурой используется, по меньшей мере, три способа, один из которых заключается в получении значений A-записей для статически определенных доменных имен с использованием как локального так и внешних DNS-серверов: 8.8.8.8, 1.1.1.1, 114.114.114.114, 119.29.29.29. При этом, IP-адреса, хранящиеся в реестре операционной системы, а также те, что получаются в результате DNS-запросов - обфускованы.

За период мониторинга (20-31 января 2024 года) выявлено 486 IP-адресов промежуточных управляющих серверов, подавляющее большинство которых принадлежат (скомпрометированному) оборудованию, находящемуся в Китае. В течение суток добавляется около 20 новых IP-адресов.

Поиск признаков поражения

1. Исследовать сетевые соединения по перечню IP-адресов, приведенных в приложении. Обычно исходящие подключения осуществляются на "высокие" (10000+) сетевые порты.

2. С помощью штатной утилиты regedit.exe проверить значения в реестре операционной системы по ключам (Рис.1):

- для WindowsXP: HKEY_LOCAL_MACHINE\ControlSet001\Services\AC0[0-9]
- для Windows7: HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlay8\Direct3D

3. С использованием штатной утилиты Event Viewer в журнале "Application" (источник: "MsiInstaller") исследовать записи с идентификаторами событий 1040 и 1042 (Рис.3).

4. Визуально осмотреть каталог "C:\Program Files" на предмет наличия папок с произвольно сгенерированным названием, например: "C:\Program Files\dvhvA".

5. Постоянство запуска вредоносной программы обеспечивается путем создания сервиса. В свою очередь, файлы бэкдора и модулей хранятся в типичных каталогах (перечень ниже). Вместе с тем, применение руткита препятствует обнаружению и/или удалению вредоносной программы непосредственно с пораженной ЭВМ.

HKEY_LOCAL_MACHINE\System\ControlSet001\services\MsXXXXXXXXXXApp
C:\Windows\System32\MsXXXXXXXXXXXXXXApp.dll
C:\Windows\AppPatch\DBXXXXXXXXXXXXMK.sdb
C:\Windows\AppPatch\RCXXXXXXXXXXMS.sdb
C:\Windows\AppPatch\TKXXXXXXXXXXMS.sdb

* XXXXXXXX - произвольно сгенерированная последовательность в диапазоне [A-F0-9]{8} (пример: "MsBA4B6B3AAAApp.dll")

Indicators of Compromise

IPv4

  • 1.14.140.47
  • 1.197.79.9
  • 1.240.81.27
  • 101.20.237.127
  • 101.231.201.234
  • 102.187.121.71
  • 103.103.200.23
  • 103.113.231.38
  • 103.134.56.169
  • 103.136.5.30
  • 103.148.245.46
  • 103.149.90.237
  • 103.149.92.208
  • 103.149.92.254
  • 103.149.92.50
  • 103.149.93.168
  • 103.150.142.75
  • 103.151.53.138
  • 103.161.31.10
  • 103.186.100.35
  • 103.204.191.158
  • 103.205.176.27
  • 103.215.205.147
  • 103.218.25.69
  • 103.224.54.210
  • 103.226.141.208
  • 103.23.144.53
  • 103.233.65.226
  • 103.243.26.157
  • 103.28.204.82
  • 103.38.252.34
  • 103.38.5.12
  • 103.39.232.29
  • 103.39.232.33
  • 103.47.181.124
  • 103.73.160.183
  • 103.73.161.184
  • 103.88.132.28
  • 103.9.185.88
  • 103.97.202.40
  • 104.154.116.45
  • 105.96.73.42
  • 106.12.252.5
  • 107.173.189.10
  • 109.74.70.14
  • 110.170.166.6
  • 110.173.183.91
  • 110.45.196.155
  • 110.53.71.110
  • 110.78.114.244
  • 110.93.244.146
  • 111.180.195.109
  • 111.180.195.131
  • 111.180.195.168
  • 111.180.195.216
  • 111.180.195.27
  • 111.180.195.36
  • 111.198.38.230
  • 111.207.115.78
  • 111.207.70.158
  • 111.26.164.238
  • 111.42.237.27
  • 111.47.22.111
  • 111.85.88.103
  • 111.9.29.235
  • 111.93.35.141
  • 112.103.156.113
  • 112.16.228.66
  • 112.168.11.135
  • 112.26.121.7
  • 112.30.131.68
  • 112.30.158.228
  • 112.31.26.68
  • 112.49.39.132
  • 112.5.173.118
  • 112.6.210.212
  • 113.108.223.140
  • 113.120.46.132
  • 113.137.46.2
  • 113.160.235.95
  • 113.161.145.95
  • 113.18.255.253
  • 113.56.215.2
  • 114.135.61.205
  • 114.199.75.134
  • 114.199.75.141
  • 114.215.78.39
  • 114.244.48.11
  • 114.246.195.20
  • 114.250.24.64
  • 114.95.122.148
  • 114.98.95.44
  • 115.230.124.61
  • 115.230.124.85
  • 115.231.24.90
  • 115.236.74.59
  • 115.238.49.107
  • 115.240.198.102
  • 115.28.180.250
  • 115.79.139.170
  • 116.16.38.18
  • 116.53.194.243
  • 116.58.10.59
  • 116.58.70.229
  • 117.102.112.68
  • 117.141.188.223
  • 117.175.45.187
  • 117.176.173.180
  • 117.177.73.246
  • 117.187.66.174
  • 117.220.198.37
  • 117.34.109.54
  • 117.34.25.161
  • 117.34.25.187
  • 117.34.91.178
  • 117.4.113.117
  • 117.40.91.23
  • 117.40.91.24
  • 118.70.131.216
  • 118.97.59.84
  • 119.127.56.228
  • 119.28.16.48
  • 12.24.187.179
  • 120.198.68.104
  • 120.202.191.60
  • 120.211.1.52
  • 120.224.30.161
  • 120.234.137.106
  • 120.24.1.55
  • 120.6.145.215
  • 120.78.120.250
  • 121.17.222.30
  • 121.18.196.126
  • 121.201.103.253
  • 121.201.65.116
  • 121.22.124.78
  • 121.22.93.50
  • 121.37.136.106
  • 121.46.232.15
  • 121.52.156.44
  • 121.52.91.78
  • 121.8.155.165
  • 122.156.224.22
  • 122.160.253.219
  • 122.166.203.170
  • 122.170.97.80
  • 122.176.21.43
  • 122.185.161.11
  • 122.185.161.13
  • 122.226.232.206
  • 122.226.37.50
  • 122.227.165.190
  • 122.3.86.105
  • 123.124.30.228
  • 123.125.14.133
  • 123.138.18.13
  • 123.160.10.201
  • 123.192.32.191
  • 123.253.227.72
  • 123.59.195.147
  • 123.59.195.28
  • 123.59.230.34
  • 124.107.139.69
  • 124.113.228.247
  • 124.133.2.46
  • 124.133.2.5
  • 124.163.218.57
  • 124.248.64.97
  • 124.70.202.82
  • 124.70.72.4
  • 125.118.218.28
  • 125.211.150.69
  • 125.211.217.14
  • 125.64.228.173
  • 138.68.78.116
  • 139.196.35.32
  • 139.211.28.203
  • 14.139.245.95
  • 14.17.76.133
  • 14.17.76.202
  • 14.176.231.58
  • 14.194.76.98
  • 14.241.97.145
  • 141.98.190.19
  • 142.149.135.21
  • 144.172.122.165
  • 144.48.227.75
  • 145.172.220.183
  • 148.235.156.153
  • 149.88.77.33
  • 149.88.81.77
  • 152.173.177.76
  • 154.21.207.31
  • 154.220.251.124
  • 154.236.171.163
  • 156.224.63.191
  • 156.224.63.192
  • 156.224.63.3
  • 156.224.63.33
  • 156.234.80.170
  • 159.138.229.182
  • 159.89.31.59
  • 160.3.221.54
  • 165.16.112.186
  • 165.227.32.93
  • 170.246.224.162
  • 170.64.177.69
  • 171.12.188.109
  • 171.217.71.15
  • 171.240.222.180
  • 172.86.180.106
  • 172.93.220.105
  • 173.230.225.13
  • 175.148.160.62
  • 175.9.189.81
  • 176.33.138.186
  • 176.98.231.98
  • 177.207.211.196
  • 178.128.103.246
  • 178.157.12.206
  • 178.163.142.2
  • 180.136.236.77
  • 180.140.243.140
  • 180.160.44.186
  • 180.178.35.226
  • 180.71.56.200
  • 180.97.215.95
  • 181.188.185.214
  • 181.65.199.34
  • 182.106.136.45
  • 182.16.255.183
  • 182.180.110.125
  • 182.70.244.185
  • 183.167.230.197
  • 183.223.86.103
  • 183.242.69.194
  • 183.245.37.223
  • 183.6.28.254
  • 183.62.179.180
  • 183.91.28.162
  • 185.105.46.9
  • 185.136.183.240
  • 185.238.45.200
  • 185.74.7.91
  • 185.82.202.152
  • 186.114.153.47
  • 186.202.178.116
  • 187.108.207.65
  • 187.189.218.211
  • 187.39.137.14
  • 187.84.208.218
  • 188.165.124.181
  • 189.164.211.35
  • 189.68.142.192
  • 189.69.112.198
  • 190.111.12.242
  • 190.201.217.133
  • 191.222.228.67
  • 192.100.188.37
  • 192.203.145.199
  • 192.250.196.170
  • 192.250.197.178
  • 192.250.197.194
  • 192.250.197.26
  • 192.250.197.50
  • 192.250.197.74
  • 192.250.197.90
  • 193.112.70.226
  • 194.54.90.57
  • 195.135.213.128
  • 195.154.237.3
  • 195.189.28.244
  • 196.218.136.178
  • 196.219.45.202
  • 196.221.144.23
  • 197.134.249.157
  • 197.162.64.54
  • 197.243.42.22
  • 198.199.80.121
  • 2.32.162.61
  • 2.57.19.149
  • 200.111.56.44
  • 200.145.63.8
  • 201.230.62.167
  • 201.93.117.220
  • 201.99.98.88
  • 202.114.234.222
  • 202.114.234.248
  • 202.12.80.91
  • 202.129.7.92
  • 202.148.2.222
  • 202.150.128.38
  • 202.150.153.147
  • 202.5.37.143
  • 202.65.170.151
  • 202.84.37.155
  • 202.85.222.160
  • 203.128.8.5
  • 203.146.115.214
  • 203.170.66.126
  • 203.188.255.179
  • 206.189.97.95
  • 207.35.188.186
  • 210.18.155.246
  • 210.64.173.5
  • 211.101.234.138
  • 211.137.1.169
  • 211.147.232.181
  • 211.181.173.2
  • 211.233.4.236
  • 211.56.181.63
  • 211.58.255.26
  • 212.16.167.25
  • 212.233.205.81
  • 213.57.139.219
  • 216.155.88.202
  • 217.115.186.99
  • 217.131.25.154
  • 217.197.233.114
  • 217.219.88.22
  • 218.15.171.38
  • 218.200.113.103
  • 218.27.147.162
  • 218.57.241.47
  • 218.63.252.159
  • 218.77.63.13
  • 218.92.206.82
  • 218.93.148.142
  • 218.93.208.83
  • 219.129.236.26
  • 219.139.134.179
  • 219.150.217.124
  • 219.150.218.173
  • 219.150.218.41
  • 219.150.218.63
  • 220.160.23.161
  • 220.173.103.242
  • 220.178.14.30
  • 220.179.78.170
  • 220.185.144.22
  • 220.194.177.52
  • 221.1.208.134
  • 221.199.171.174
  • 221.230.11.85
  • 221.3.12.164
  • 221.6.239.114
  • 222.134.42.85
  • 222.174.241.25
  • 222.175.21.126
  • 222.178.221.62
  • 222.186.134.123
  • 222.186.139.109
  • 222.188.85.232
  • 222.212.84.184
  • 222.217.69.29
  • 222.220.250.194
  • 222.222.182.35
  • 222.222.251.45
  • 222.71.98.206
  • 222.73.204.186
  • 222.73.29.92
  • 222.85.107.148
  • 222.85.139.162
  • 222.88.151.59
  • 222.92.147.235
  • 223.100.212.200
  • 223.72.134.186
  • 223.72.154.33
  • 223.75.204.52
  • 223.75.237.39
  • 223.85.52.6
  • 223.87.43.14
  • 23.225.98.34
  • 27.123.249.22
  • 27.151.0.68
  • 27.223.74.74
  • 3.249.36.102
  • 34.92.241.209
  • 35.228.174.104
  • 36.129.152.17
  • 36.129.204.121
  • 36.135.78.19
  • 36.154.186.147
  • 36.158.133.177
  • 36.7.105.104
  • 36.7.175.92
  • 39.109.88.38
  • 39.155.249.143
  • 39.170.71.90
  • 39.77.20.4
  • 39.77.236.66
  • 39.89.199.82
  • 41.111.165.18
  • 41.111.188.14
  • 41.111.188.21
  • 41.174.104.229
  • 41.203.223.149
  • 41.207.250.110
  • 41.32.227.82
  • 41.32.245.167
  • 41.33.183.69
  • 41.38.60.12
  • 42.62.11.218
  • 43.224.0.108
  • 43.248.137.87
  • 45.125.47.204
  • 45.207.27.18
  • 45.207.27.5
  • 45.232.214.129
  • 45.66.8.143
  • 45.7.228.51
  • 46.185.128.213
  • 47.104.66.145
  • 47.108.169.104
  • 47.108.31.207
  • 47.108.71.71
  • 47.109.105.41
  • 47.109.106.251
  • 47.109.70.125
  • 47.109.94.20
  • 47.190.115.94
  • 49.156.148.22
  • 5.201.163.11
  • 5.201.191.235
  • 58.18.132.105
  • 58.216.234.58
  • 58.217.104.137
  • 58.220.41.126
  • 58.221.101.138
  • 58.221.252.210
  • 58.240.123.42
  • 58.240.33.194
  • 58.255.77.21
  • 58.27.195.92
  • 58.33.95.52
  • 58.56.164.82
  • 58.64.186.47
  • 59.11.209.222
  • 59.175.137.34
  • 59.188.3.135
  • 59.44.198.162
  • 59.95.101.125
  • 60.10.1.45
  • 60.10.60.167
  • 60.10.64.51
  • 60.15.204.34
  • 60.167.184.160
  • 60.170.183.101
  • 60.170.59.138
  • 60.172.55.213
  • 60.190.243.74
  • 60.212.216.10
  • 60.216.100.210
  • 60.223.244.12
  • 60.3.123.17
  • 61.136.101.37
  • 61.139.155.237
  • 61.146.235.242
  • 61.147.103.131
  • 61.147.107.94
  • 61.147.108.22
  • 61.147.69.83
  • 61.153.148.51
  • 61.160.233.68
  • 61.160.235.31
  • 61.160.250.158
  • 61.163.1.158
  • 61.174.50.57
  • 61.177.56.98
  • 61.178.26.173
  • 61.178.43.239
  • 61.181.131.90
  • 61.181.65.248
  • 61.240.16.107
  • 61.247.233.134
  • 64.227.152.193
  • 72.255.233.216
  • 74.96.232.10
  • 78.187.138.37
  • 78.38.31.71
  • 79.127.41.100
  • 79.173.251.117
  • 8.137.17.159
  • 8.137.23.237
  • 8.142.71.135
  • 82.194.18.42
  • 83.239.69.74
  • 83.239.7.166
  • 83.69.8.29
  • 84.23.38.142
  • 85.191.122.242
  • 88.225.229.216
  • 88.249.94.231
  • 88.250.186.238
  • 89.111.243.60
  • 89.146.53.113
  • 91.135.200.114
  • 91.140.239.162
  • 91.214.48.197
  • 91.98.126.48
  • 92.204.241.140
  • 92.46.30.210
  • 93.57.51.184
  • 95.59.128.101

Domains

  • kew.1qw.us
  • kew.8df.us
  • nk.1qw.us
  • ret.6bc.us
  • rpc.1qw.us

URLs

  • http://103.39.232.29:18601/C558B828.Png
  • http://103.73.161.184:17487/C558B828.Png
  • http://103.97.202.40:11592/08388E25.Png
  • http://110.45.196.155:14753/C558B828.Png
  • http://112.26.121.7:19139/C558B828.Png
  • http://113.161.145.95:19153/C558B828.Png
  • http://114.244.48.11:19650/C558B828.Png
  • http://118.97.59.84:18079/C558B828.Png
  • http://121.201.103.253:18101/C558B828.Png
  • http://121.22.124.78:17535/C558B828.Png
  • http://123.192.32.191:18102/C558B828.Png
  • http://138.68.78.116:11016/08388E25.Png
  • http://138.68.78.116:11016/C558B828.Png
  • http://144.172.122.165:15673/C558B828.Png
  • http://149.88.77.33:19566/C558B828.Png
  • http://159.89.31.59:16801/08388E25.Png
  • http://160.3.221.54:15591/08388E25.Png
  • http://160.3.221.54:15591/C558B828.Png
  • http://170.246.224.162:15427/08388E25.Png
  • http://170.246.224.162:15427/C558B828.Png
  • http://172.93.220.105:20127/08388E25.Png
  • http://172.93.220.105:20127/C558B828.Png
  • http://173.230.225.13:11843/C558B828.Png
  • http://178.128.103.246:17880/08388E25.Png
  • http://178.128.103.246:17880/C558B828.Png
  • http://187.189.218.211:16789/C558B828.Png
  • http://187.39.137.14:12399/C558B828.Png
  • http://187.84.208.218:17009/C558B828.Png
  • http://190.111.12.242:17742/C558B828.Png
  • http://192.250.197.178:16932/08388E25.Png
  • http://195.154.237.3:20175/C558B828.Png
  • http://195.189.28.244:17807/C558B828.Png
  • http://201.230.62.167:15840/C558B828.Png
  • http://212.233.205.81:17849/08388E25.Png
  • http://212.233.205.81:17849/C558B828.Png
  • http://219.150.217.124:11825/08388E25.Png
  • http://219.150.217.124:11825/C558B828.Png
  • http://220.194.177.52:14975/C558B828.Png
  • http://221.199.171.174:16543/08388E25.Png
  • http://221.199.171.174:16543/C558B828.Png
  • http://221.230.11.85:18156/C558B828.Png
  • http://222.186.134.123:11700/08388E25.Png
  • http://222.92.147.235:17538/C558B828.Png
  • http://36.7.175.92:18879/08388E25.Png
  • http://36.7.175.92:18879/C558B828.Png
  • http://41.33.183.69:19811/C558B828.Png
  • http://60.223.244.12:11053/C558B828.Png
  • http://61.146.235.242:17770/C558B828.Png
  • http://61.160.233.68:19583/C558B828.Png
  • http://64.227.152.193:18336/08388E25.Png
  • http://64.227.152.193:18336/C558B828.Png
  • http://74.96.232.10:19408/C558B828.Png
  • http://8.137.17.159:15066/C558B828.Png
  • http://85.191.122.242:17756/C558B828.Png
  • http://89.111.243.60:17320/08388E25.Png
  • http://91.135.200.114:10872/C558B828.Png

SHA256

  • 29db0e21d078018f85bea7c0906a7894a4b78e74707f1cbac8f9f462eaecad23
  • 3184ecf43310e2487be0073a6041d292dab1f176560edf2e8e60d594ad5d2ab2
  • 31f50cb8ae6d41a410a39efd020ea0ed05add98df48c4257dfb8441bc6c57856
  • 326bb4222a2f42d4f4ca455fbe97c7ae0784fb14538b0f5d4f5088acb981fbe9
  • 395a3bd57246241f2c2b5efc427afbf5083facbde30b0199335f4102f73b8ae6
  • 3eea47b22bc68089440a40b3f899665e3584c845d8c302872e1d93b62fa59fab
  • 43eef76fa966395bde56b4e3812831ca75ad010e3b8216103358deb09bdc14d1
  • 6d817e8cd54c3a21f6d4aa437b16663a2a40b726014a8de1cbf9343101a0ab62
  • 6dc323456042048bdd0260c87e0deea082c855c53b6f948dbb5be27a3d721ded
  • 937e0068356e42654c9ab76cc34cf74dfa4c17b29e9439ebaa15d587757b14b0
  • aaba7db353eb9400e3471eaaa1cf0105f6d1fab0ce63f1a2665c8ba0e8963a05
  • b3b5fff57040c801a4392da2af83f4bf6200c575aa4a64ab9a135b58aa516080
  • c4c6f2c4452a540b2c69dc6164887d6014f6ab02d203bb56753c89863e840e46
  • d627d4b6b8e15c4538776d8dcb03c4029b461144f921589655509b9f4aab4c65
  • e8e529957fda9fc2c271d3fed6fe744bb62b3f5d3f47db0b6e45afdd7c9fd9fc
  • ea4c2f895f7b1c46aa8de559e7a6d8201b49437332d6d5e859052276db50c6c4
  • eb29edd6211836e6d1877a1658e648beb749091ce7d459dbd82dc57c84bc52b1
  • f957af223174a135b23c48e40a4de50494737f3d6e10e193510446e27ebb7595
Похожие записи:
  1. RomCom Backdoor IOCs
  2. LOGPIE Keylogger и CHERRYSPY Backdoor IOCs
  3. TURLA APT IOCs - Part 3
  4. Bvp47 Backdoor IOCs
  5. Daxin Backdoor IOC
Backdoor CERT-UA DIRTYMOE PurpleFox
Добавить комментарий