GuptiMiner Malware IOCs

security IOC
Опубликовано

Компания Avast обнаружила и исследовала вредоносную кампанию, использующую механизм обновления антивируса eScan для распространения бэкдоров и монетных терминалов. Они обнаружили два разных типа бэкдоров, нацеленных на крупные корпоративные сети. Кампания была организована злоумышленником, возможно, связанным с Kimsuky. Конечной полезной нагрузкой, распространяемой GuptiMiner, также был XMRig.

GuptiMiner - это сложная угроза, которая использует различные техники для заражения систем, включая DNS-запросы к серверам злоумышленника, боковую загрузку и извлечение полезной нагрузки из изображений. Основной целью GuptiMiner является распространение бэкдоров в крупных корпоративных сетях. Они разработали два разных варианта бэкдоров: один представляет собой расширенную сборку PuTTY Link, который сканирует SMB локальной сети, а другой - многомодульный бэкдор, который фокусируется на сканировании закрытых ключей и криптокошельков.

Интересно, что помимо распространения бэкдоров, GuptiMiner также устанавливает XMRig на зараженных устройствах. Компания Avast связалась с компанией eScan и индийской службой CERT, чтобы сообщить об уязвимости антивирусной программе eScan. Компания eScan 31 июля 2023 года подтвердила, что проблема была устранена.

GuptiMiner - это давняя вредоносная программа, обнаруженная еще в 2018 году, которая, возможно, связана с северокорейской APT-группой Kimsuky. Они обнаружили сходство между GuptiMiner и кейлоггером Kimsuky. В этом анализе были рассмотрены особенности и эволюция GuptiMiner с течением времени.

Они также упомянули ограничения исследования, так как пользователи редко устанавливают на свои машины более одной антивирусной программы, и поэтому настоящий масштаб операции GuptiMiner может быть гораздо больше того, что видно.

В целом, GuptiMiner является сложной и продуманной угрозой, которая использует различные методы и техники для распространения бэкдоров и заражения корпоративных сетей. Cудя по всему, GuptiMiner имеет давнюю историю и, возможно, связан с северокорейской группой Kimsuky. Однако благодаря усилиям компании Avast и связанным с ними организациям, уязвимость в антивирусной программе eScan была исправлена и проблема устранена.

Indicators of Compromise

IPv4

  • 185.248.160.141

Domains

  • _spf.microsoft.com
  • acmeautoleasing.net
  • b.guterman.net
  • breedbackfp.com
  • crl.microsoft.com
  • crl.peepzo.com
  • crl.sneakerhost.com
  • desmoinesreg.com
  • dl.sneakerhost.com
  • edgesync.net
  • espcomp.net
  • ext.microsoft.com
  • ext.peepzo.com
  • ext.sneakerhost.com
  • gesucht.net
  • globalsign.microsoft.com
  • icamper.net
  • m.airequipment.net
  • m.cbacontrols.com
  • m.gosoengine.com
  • m.guterman.net
  • m.indpendant.com
  • m.insomniaccinema.com
  • m.korkyt.net
  • m.satchmos.net
  • m.sifraco.com
  • ns.bretzger.net
  • ns.deannacraite.com
  • ns.desmoinesreg.com
  • ns.dreamsoles.com
  • ns.editaccess.com
  • ns.encontacto.net
  • ns.gravelmart.net
  • ns.gridsense.net
  • ns.jetmediauk.com
  • ns.kbdn.net
  • ns.lesagencestv.net
  • ns.penawarkanser.net
  • ns.srnmicro.net
  • ns.suechiLton.com
  • ns.trafomo.com
  • ns1.earthscienceclass.com
  • ns1.peepzo.com
  • ns1.securtelecom.com
  • ns1.sneakerhost.com
  • p.bramco.net
  • p.hashvault.pro
  • r.sifraco.com
  • spf.microsoft.com
  • widgeonhill.com
  • www.bascap.net

Domain Port Combinations

  • www.righttrak.net:443

URLs

  • http://update3.mwti.net/pub/update/updll3.dlz
  • http://www.deanmiller.net/m/
  • https://m.airequipment.net/gpse/

MD5

  • 243bc2e3ac74d4516cc5874b3c78038f
  • 2968c77d176140925689df4d9aeedc7a
  • 30f9e0d5c865b56c6f48741146e4464e
  • 331c9ae049b2ede6a42fc1fdf5c1c06f
  • 431f11acfde99c9f15dda9ea16bd5391
  • 43227a02000a75182cbbe1b7711a7689
  • 43f5a32fa972b786b47d18f54381b1f6
  • 4bc0036b556116ad030296d8fae96925
  • 4c8b7db2184d2952d3e4dabd94220fd3
  • 572b5b1e9b84adc60655c4b8c7c3e6af
  • 5c6dee012a248ae3d37ab670772197f5
  • 6890e6e6ecfcd14e5ccd269e885a4c1c
  • 74c285f86406dfa87673a95a41900dc3
  • 756f0ba9fe8f47bd4963d3f4c0b975df
  • 78857b4821d9590d406b3d1b6bc0bd9b
  • 85c07f796669fafca131040fdb1c3475
  • 8c0f558e8f0481331d66b54b8e82dec1
  • ca3dabc60d856998e019be2bda60493f
  • cf87d566bc28f8bf36bf1ded84d69c1f
  • d34d74d4849fe6bdb48b0ba230d6cd8c
  • de4c57d614a482aa25df320992767cc1
  • ee85e173ae8624365dbcd16d55f25588
  • f2701c1fc6f412c07020ca7e1e964966
  • f5326de87f0d4669f591ddae3dca8ea4

SHA1

  • 0c06df39db322bf4650efbf6f8e5fbafe1936ef9
  • 183ec331a9ea2a5366693c4d4ca308bf3e185f19
  • 23c76feb4adc5f9422b06383c1f90b84ae3fdcc5
  • 2f8e6f072498b8e1e7da4cad93a289205341fb79
  • 31070c2ea30e6b4e1c270df94be1036ae7f8616b
  • 411abaf231cc6141f185e6aaaa1f5857f0487809
  • 4204fefa87ff3e5f04b18432976c46b6fe36500a
  • 47d7135b31d9b4cfd000e0634c5bfe8a96968861
  • 4bd7f794815a61b57a33d71ca745e9221d65f7a4
  • 4e8c22ee9539a7f0d42e12bcef16a5d7e1191534
  • 529763ac53562be3c1bb2c42bcab51e3ad8f8a56
  • 57753f0a38b802c49d5b6880253dbbe28ce13adc
  • 5aab2fe102b757a0dbaa66a54b4d31fb110e5e4f
  • 6155c5fd915b6eaecd78d2f082979c5c8f346cb0
  • 778b8461ec4c3da0c370feb9c467591617719959
  • 7dd2534d5c1600072acd8c4d5c41a3ba6a3c6112
  • 9b15c85e31eff8b269b4155f642d2eea36fef99c
  • a78d792f9ab2e94ccd7710a43ad4bf2bb0cbf4b2
  • ae17a91c02be20129bd1714103b07a008dbcd364
  • c902785e312ad1a28a7719dd2edef7d2168a5100
  • cc4c217ea65467ba4430951c7fb356ab7bc18b59
  • e89bbe49bc648d36c2fbff5ab232bd9afafe8bbf
  • fbc5986ca3d9448501d9453ed4fbb7b4ccb52a48
  • ff36cf1076331bd55a44410904e82c4ecf53de6e
  • ff8678cdc62494f84b5b8755ef8201502c345fa4
  • ffafeeb8f49b1b21cab986fbad2e628ef031fe0f

SHA256

  • 07beca60c0a50520b8dbc0b8cc2d56614dd48fef0466f846a0a03afbfc42349d
  • 1c31d06cbdf961867ec788288b74bee0db7f07a75ae06d45d30355c0bc7b09fe
  • 1fbc562b08637a111464ba182cd22b1286a185f7cfba143505b99b07313c97a4
  • 294b73d38b89ce66cfdefa04b1678edf1b74a9b7f50343d9036a5d549ade509a
  • 31dfba1b102bbf4092b25e63aae0f27386c480c10191c96c04295cb284f20878
  • 3515113e7127dc41fb34c447f35c143f1b33fd70913034742e44ee7a9dc5cc4c
  • 357009a70daacfc3379560286a134b89e1874ab930d84edb2d3ba418f7ad6a0b
  • 364984e8d62eb42fd880755a296bd4a93cc071b9705c1f1b43e4c19dd84adc65
  • 487624b44b43dacb45fd93d03e25c9f6d919eaa6f01e365bb71897a385919ddd
  • 4dfd082eee771b7801b2ddcea9680457f76d4888c64bb0b45d4ea616f0a47f21
  • 6305d66aac77098107e3aa6d85af1c2e3fc2bb1f639e4a9da619c8409104c414
  • 74d7f1af69fb706e87ff0116b8e4fa3a9b87275505e2ee7a32a8628a2d066549
  • 7a1554fe1c504786402d97edecc10c3aa12bd6b7b7b101cfc7a009ae88dd99c6
  • 7f1221c613b9de2da62da613b8b7c9afde2ea026fe6b88198a65c9485ded7b3d
  • 8446d4fc1310b31238f9a610cd25ea832925a25e758b9a41eea66f998163bb34
  • 8e96d15864ec0cc6d3976d87e9e76e6eeccc23c551b22dcfacb60232773ec049
  • af9f1331ac671d241bf62240aa52389059b4071a0635cb9cb58fa78ab942a33b
  • b0f94d84888dffacbc10bd7f9983b2d681b55d7e932c2d952d47ee606058df54
  • c3122448ae3b21ac2431d8fd523451ff25de7f6e399ff013d6fa6953a7998fa3
  • de48abe380bd84b5dc940743ad6727d0372f602a8871a4a0ae2a53b15e1b1739
  • e0dd8af1b70f47374b0714e3b368e20dbcfa45c6fe8f4a2e72314f4cd3ef16ee
  • f0ccfcb5d49d08e9e66b67bb3fedc476fdf5476a432306e78ddaaba4f8e3bbc4
  • f656a418fca7c4275f2441840faaeb70947e4f39d3826d6d2e50a3e7b8120e4e
  • ff884d4c01fccf08a916f1e7168080a2d740a62a774f18e64f377d23923b0297
Похожие записи:
  1. Mirai, RAR1Ransom, GuardMiner IOCs
  2. NeedleDropper IOCs
  3. BianLian Ransomware IOCs - Part 3
  4. Dota 2 под атакой: Как в игре эксплуатируется ошибка V8
  5. Minas Miner IOCs
Avast GuptiMiner Miner XMRig
Добавить комментарий