CoralRaider Campaign IOCs

security IOC
Опубликовано

Cisco Talos обнаружила новую кампанию, ведущуюся с февраля 2024 года, которую осуществляет участник угроз, распространяющий вредоносные программы-инфопохитители Cryptbot, LummaC2 и Rhadamanthys. Кампания использует обход антивирусных продуктов и загрузку полезной нагрузки на хост жертвы с использованием нового аргумента командной строки PowerShell, встроенного в LNK-файл. Для сервера загрузки используется кэш-домен сети доставки контента (CDN), на котором размещаются вредоносный файл HTA и полезная нагрузка. В результате исследования Talos с умеренной уверенностью был выделен угрожающий агент под названием CoralRaider.

Кампания затрагивает жителей разных стран, включая США, Нигерию, Пакистан, Эквадор, Германию, Египет, Великобританию, Польшу, Филиппины, Норвегию, Японию, Сирию и Турцию. Пользователи загружали вредоносные файлы, представляющие собой маскировку под фильмы. Такая широкомасштабная атака указывает на возможность атаковать пользователей разных бизнес-секторов и географических регионов.

Угрожающий агент использует кэш CDN в качестве сервера загрузки вредоносных файлов для обхода защиты сетей. Кампания также использует несколько C2-доменов для управления атакой. Talos отметил схожесть тактики, техники и процедур (TTP) этой кампании с предыдущей кампанией CoralRaider's Rotbot, основываясь на использовании PowerShell, схожих скриптов и географии жертв.

Скрипты PowerShell, использованные в атаке, не были обнаружены в публичных репозиториях или статьях, что указывает на то, что они были разработаны самим угрожающим агентом. Talos также описывает многоступенчатую цепочку заражения, начинающуюся с открытия вредоносного ярлыка в ZIP-файле, после чего выполняются дешифровка и загрузка вредоносной полезной нагрузки на машине жертвы.

Indicators of Compromise

IPv4 Port Combinations

  • 185.23.108.220:6339

URLs

  • claimconcessionrebe.shop/api
  • culturesketchfinanciall.shop/api
  • dashdisk-2.b-cdn.net/XFeb18
  • dbeight8pt.top/zip.php
  • denv-2.b-cdn.net/FebL4
  • denv-2.b-cdn.net/FebL5
  • download-main5.b-cdn.net/BSR_v7IDcc
  • gemcreedarticulateod.shop/api
  • kbeight8ht.top/upload.php
  • kbeight8pn.top/upload.php
  • kbeight8sb.top/upload.php
  • kbeight8vs.top/upload.php
  • kveight8sb.top/zip.php
  • kzeight8ht.top/upload.php
  • liabilityarrangemenyit.shop/api
  • metrodown-2.b-cdn.net/MebL1
  • metrodown-2.b-cdn.net/SAq2
  • metrodown-3.b-cdn.net/MebL1
  • modestessayevenmilwek.shop/api
  • peasanthovecapspll.shop/api
  • secretionsuitcasenioise.shop/api
  • sofahuntingslidedine.shop/api
  • techsheck.b-cdn.net/Zen90
  • triangleseasonbenchwj.shop/api
  • zexodown-2.b-cdn.net/Peta12

SHA256

  • 02e03904d09ccece4f71e34a4a6d0f1181471c4d17208ee6cfe940e11e185018
  • 1397268735c5c6e88d8bc717ac27f8810225b554ed2f0d76a3e0048b0933af18
  • 150dd450f343c7b1e3b2715eae3ed470c1c1fadf91f2048516315f1500a58ffa
  • 1942c417f2b71068fb4c1abb31bc77426bbe3513334cdaceaff3603955830e21
  • 2ad94e492bc18e11f513a29968054e1a37df504ac577fd645e781e654f2730c9
  • 305bf697e89e6eef59b0beef2b273a1daad174ebec238a67a6e80c5df5fffaf8
  • 31b4fd83c16bf7266c82a623998b0d7b54bb084b24a5cb71a2b5e9b17bb633dc
  • 3ac52be2039a73df64e36672f3f0c748de10f6a8bed4b23642dd8da256137681
  • 3ae459746637e6f5536f3ba4158c822031578335505a512df3c31728cac8f627
  • 3b54d05ec98321980c1d71b89c42ff77a42f121e37f6ea54a6368a58ce1b1ad3
  • 3c075a2bcd06e103e6ec3a1b74ceaaf600d3a9e179e2719795377f71c4f8f9c8
  • 51c1eccc1b95ecbeaebc4853606c02808fce208ff1f76f0c7aa11ad7fbb4b763
  • 5ad73cf7e08b8c7bab0d96ba92607b8c9b22b61354052cf59df93b782b6e039b
  • 5cb65b469023dcc77ede21c66a753fa9cbe67597aae142958fce4936ce3974aa
  • 5dc77655bddf8881b533e4db732dcf7ac5ebf3adad4be77ff226909a49bfc89b
  • 6089c53ef2b0100fd91554c2a56aafaeea86b08c5ad0459fd66bd05a6602a3ee
  • 74ea6e91c00baad0b77575740eb7f0fb5ad1d05ddea8227dc1aa477e179e62df
  • 7682ec1cc9155e1dfa2ec2817f0510ac3f66800299088143f8a6b58eeb9a96c8
  • 7db78346dde71258ae1307b542d162a030c71031eebd0ed80816112d82c008f0
  • 7f19557ee3024c59668e5bd1c96a8124b0a201a9fd656bd072332b400c413405
  • 88528be553f2a6f72e2ae0243ea907d5dcdcd7c8777831b4c3ab2a67128bc9b9
  • 8c732ec41550851cc933e635708820ec9202fddc69232ca4ed625d420aec3d86
  • 934dc78ab89dd466b1a140954c6528b6a8591ca09a023616405cf71faf69f010
  • 958508a626b94d5e2e00ab0b94cb75dca58091cce708d312ee1a1c0688ef067c
  • 963ffc17565079705c924b8ab86d1c7018f5edc50ce8e810df3eebead4e14e7f
  • a04c6804b63220a9cb1ea6c5f2990e6a810d7b4b7225e0fc5aa7ed7e2bac3c99
  • a1f16ab97b9516e85c202ff00bd77b0b5e0e4ed29bfad28797fbbd0f25a8e0ae
  • a28152ed5039484e858d3c7d4bac03c6ad66fbaffb0e8ea3dfa8def95e115181
  • aea7c613ac659a083c35afd8e20f19a2c3583f81597dec48cbc886292cfcc975
  • b3e694ce12e6f67db5db56177abfddebbc29f558618987e014f47a46996a8ced
  • b6dbee1b6e444216668c44e41a84ca91cbd966e9035621423ecc12db52a36e01
  • b796cc4a54ee27601c1ed3a0016caa6f58206f4f280391f67820b8b019602add
  • e68c9aedfd080fe8e54b005482fcedb16f97caa6f7dcfb932c83b29597c6d957
  • eef156d681c4921cbed720e6de257a69ad6a187e814037257977958eb0c7604e
  • fd53383d85b39e68d817e39030aa2184764ab4de2d478b7e33afc39dd9661e96
Похожие записи:
  1. Rhadamanthys Stealer IOCs
  2. dotRunpeX Injector IOCs
  3. LummaC2 Stealer IOCs
  4. Rhadamanthys Stealer IOCs - Part 2
  5. CryptBot Stealer IOCs
Campaign CoralRaider CryptBot LummaC2 Rhadamanthys
Добавить комментарий