AgentTesla Stealer IOCs - Part 14

Spyware IOC
Опубликовано

CERT-AGID обнаружил распространение вредоносной программы AgentTesla в Италии.

Кампания продолжается уже около девяти месяцев и основывается на новых итальянских компаниях с ограниченной ответственностью. Письма, содержащие вложения в формате .ZIP или .Z, содержат исполняемый файл .EXE или файл .SRC. Злоумышленники также использовали командно-контрольный сервер (C2), который несколько раз был выявлен CERT-AGID. Они повторно используют этот сервер, вероятно, чтобы обмануть защитные системы. Начальный загрузчик меняется с каждой новой итерацией, а их расшифровка выполняется с помощью алгоритма AES или Triple DES. Для расшифровки начальной фазы был использован рецепт CyberChef. Окончательный загрузчик, используемый в AgentTesla, - это проект с открытым исходным кодом, называемый Costura, который загружает полезную нагрузку в память во время выполнения.

Indicators of Compromise

Domains

  • gator3220.hostgator.com

URLs

  • http://filetransfer.io/data-package/EN1H0b0j/download
  • https://s22.filetransfer.io/storage/download/0HrIh4OdCdve

MD5

  • 1989b73ade13255f90cb9fc64a5a4ec7
  • 3b9df1a72f00adf98ae6b7fb83a2b4d2
  • a3d184397aaf2c86952ed6bd6d7c156d

SHA1

  • 169779697c87750190e8380fe042f75935a4273a
  • 356df8951d5c9771ba523a42e0d89fbeee661f24
  • 94376cd6ce32803566dcfc6b6652ecab6401e82c

SHA256

  • 538cc397a171cc8916b273fc2f6407b5c561f30b160d0e00f43876438ddb9193
  • 901d12237c381a3a188e151343ecc181c7d0f4983f33ae5ee66fc2dccf1d4c4f
  • d3ea64ad7250d31bd2bc73eb1de0826821438aa02f9028c516245d68ea15e879
Похожие записи:
  1. AgentTesla Stealer IOCs - Part 13
  2. PureCrypter Campaign IOCs
  3. AgentTesla Stealer IOCs - Part 12
  4. Mars Stealer IOC
  5. FFDroider Stealer IOC
AgentTesla CERT-IT Stealer
Добавить комментарий