Spinning YARN Campaign IOCs

security IOC

Исследователи Cado Security Labs недавно столкнулись с новой кампанией вредоносного ПО, нацеленной на неправильно сконфигурированные серверы с веб-сервисами.
Кампания использует ряд уникальных и несообщаемых полезных нагрузок, включая четыре двоичных файла Golang, которые служат инструментами для автоматизации обнаружения и заражения хостов, на которых запущены вышеуказанные сервисы. С помощью этих инструментов злоумышленники выпускают код эксплойта, используя распространенные ошибки конфигурации и уязвимость n-day, для проведения атак с удаленным выполнением кода (RCE) и заражения новых хостов.

После получения первоначального доступа используется ряд сценариев оболочки и общие методы атаки на Linux для доставки криптовалютного майнера, создания обратной оболочки и обеспечения постоянного доступа к скомпрометированным хостам.

Indicators of Compromise

IPv4

  • 107.189.31.172
  • 209.141.37.110
  • 47.96.69.71

Domains

  • b.9-9-8.com

URLs

  • http://b.9-9-8.com/brysj/cronb.sh
  • http://b.9-9-8.com/brysj/d/ar.sh
  • http://b.9-9-8.com/brysj/d/c.sh
  • http://b.9-9-8.com/brysj/d/d.sh
  • http://b.9-9-8.com/brysj/d/enbio.tar
  • http://b.9-9-8.com/brysj/d/h.sh

SHA256

  • 0c3fe24490cc86e332095ef66fe455d17f859e070cb41cbe67d2a9efe93d7ce5
  • 0c7579294124ddc32775d7cf6b28af21b908123e9ea6ec2d6af01a948caf8b87
  • 251501255693122e818cadc28ced1ddb0e6bf4a720fd36dbb39bc7dedface8e5
  • 5a816806784f9ae4cb1564a3e07e5b5ef0aa3d568bd3d2af9bc1a0937841d174
  • 64d8f887e33781bb814eaefa98dd64368da9a8d38bd9da4a76f04a23b6eb9de5
  • afddbaec28b040bcbaa13decdc03c1b994d57de244befbdf2de9fe975cae50c4
  • d4508f8e722f2f3ddd49023e7689d8c65389f65c871ef12e3a6635bbaeb7eb6e
  • d45aca9ee44e1e510e951033f7ac72c137fc90129a7d5cd383296b6bd1e3ddb5
  • e71975a72f93b134476c8183051fee827ea509b4e888e19d551a8ced6087e15c
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий