FROZEN#SHADOW Campaign IOCs

security IOC
Опубликовано

Команда Securonix обнаружила интересную атакующую кампанию, в ходе которой использовалось вредоносное ПО SSLoad и импланты Cobalt Strike. Атака позволила злоумышленникам захватить сетевой домен путем развертывания программы SSLoad, вредоносных нагрузок и установки программы удаленного мониторинга RMM.

SSLoad - вредоносное ПО, используемое для скрытного проникновения в системы и сбора конфиденциальной информации. Оно устанавливает бэкдоры и полезные нагрузки, чтобы сохранить устойчивость и избежать обнаружения. Затем оно передает полученные данные злоумышленникам. Вредоносная программа обычно распространяется через фишинговые электронные письма, содержащие ссылки на файлы JavaScript, загружаемые на компьютер жертвы.

После первоначального заражения злоумышленники устанавливают программное обеспечение RMM, импланты Cobalt Strike и перемещаются по системе. В результате они полностью скомпрометировали домен Windows жертвы, создавая собственную учетную запись администратора.

Анализ JavaScript-файла, использованного в атаке, показал использование обфускации для обхода антивирусных программ. Удаление обфускации помогло понять намерения злоумышленников. Файл выполнял несколько функций, в том числе установку вредоносной нагрузки на следующем этапе.

Атака также включала сопоставление дисков и подключение к сетевым ресурсам, а затем удаленную установку вредоносной нагрузки с помощью MSI-файла.

Indicators of Compromise

IPv4

  • 23.159.160.88
  • 23.95.209.148
  • 45.95.11.134
  • 85.239.54.190

Domains

  • bjSdg0.pintaexoticfashion.co.in
  • danteshpk.com
  • globalsolutionunlimitedltd.com
  • kasnackamarch.info
  • krd6.com
  • l1-03.winupdate.us.to
  • maramaravilha.com
  • mmtixmm.org
  • simplyfitphilly.com
  • skinnyjeanso.com
  • sokingscrosshotel.com
  • stratimasesstr.com
  • titnovacrion.top
  • winarkamaps.com
  • wireoneinternet.info

Domain Port Combinations

  • 23-95-209-148-host.colocrossing.com:443

URLs

  • https://t0talwar.screenconnect.com

SHA256

  • 0737fa0b403fab17331c9835497a4f3b2955543e2fac85009dcc66df41a015f8
  • 08075e8a6dcc6a5fca089348edbd5fc07b2b0b26a26a46e0dd401121fdaa88d3
  • 08e82f1c0a033ab295b4d342c53970e4528e20933c614bda3bbc5d57bab20651
  • 092962bc268390debf17cd148d03147cdf919e442e61c92de01eac3bdb34b1c1
  • 09e7f7428e6ecc68ef036c0751f53985882f6760cf3892f1d26af44f3b9730de
  • 0ede3cbe821e4f083fc119274f069c77e64a6a7e8a2c16530317b826a0939979
  • 17ddc339b14845bc9d67c5c3cd9a0e617387cc0569131ff3641035d82043effa
  • 18d60c9c807da021bc2c31e3ba7ec2737865a8c96060134caa3cf033e43e26fe
  • 2118c5b95d5d57492b2e8b8c0403e23b21acc4ff50282f8b6007ba89adfaa992
  • 232f8f8dc9e5b9723c43c78cb942cc810ef56e305e4bd650110a484334f568a8
  • 24cb279eebcd49e1327905ab2bd19b9b2e09efa3e0a5e1875f3989c398a5da81
  • 2b026343214c3d2c10fdfa9b04b7694e57ee8d3605fbf9a2e127fe6fa9a58309
  • 3584ca9c1e7e0a38e47f59bb16c21203a60833d0f826294d535a98e7ca76d9c1
  • 3bca1dcaef4430272b9029c9a4bc8be0d45ecff66e8de8679ed30d8afab00f6f
  • 4d9274cfe7a2bd9a125352271d1634708e1f9b1d70b056d1c1950cb98b8f91ff
  • 4f52b4a2a781f366ed534d8c4b2fafef48a7848c4c20b4229b98747ca8ab06d3
  • 5fb093a9348fcf4a81befda978c948796a8319fcabe7899c2cf5ba1419ec9d35
  • 63283e012f067a3ffb27ed4fe6803f740c80f6f65213fe5507f0cd1ee0019b96
  • 65da6d9f781ff5fc2865b8850cfa64993b36f00151387fdce25859781c1eb711
  • 68e1caf530366b1890993185157c01161b3d625063d75a41c88d2d1bb8edfe02
  • 6d7a94b7551f15732e193a07357375b98b463f0dce6b1fed871a42fcbdde9f48
  • 6e892aa13cbd4b71a1c476207abddb1ef830be04999809b4ef569488a37e47e0
  • 7018c43ee38190eae122797869865fd808817f31d766575b43b118ae176c0c68
  • 7206eafc475f246e7c9c258afdaaa64b5193c1c7427d927be417e53dec890078
  • 75db4709428310c76656bf76f5de267ab490e43284312b374baf7582108300a9
  • 780b970dad15835d138546be9b615fc1b4124c1060a8efd91b9c52f9c3160d5b
  • 791c28d4201e8b9ea5162fbee3908feb34793b1c51f5aaedc43916e86068248d
  • 7dbebb7c76511fc063b5ace0a9359b655f66a55a494200b8fd11905c78b5fb90
  • 7dff08656413a737483ecee2a50e412338ebfee3d36a1a5c04e74b25949b2306
  • 7f97adff1d298ccf1f3c7991fcb01008dda22722ebbc11af48fcbf2adb58afb4
  • 805b59e48af90504024f70124d850870a69b822b8e34d1ee551353c42a338bf7
  • 828ef3e4ca064891836913015c48ac9807ecd43b32f6e7e4bff29b9fd2e218c9
  • 8f7a90b540f38712c9c1a5359c6333bbe1091102d6f621b22321e08352c84cfc
  • 96212917b7b0dc881332db7ece0bacfe21d9ac713af1abe078f6d3e74baacd01
  • 9856b816a9d14d3b7db32f30b07624e4bcda7f1e265a7bb7a3e3476bfd54a759
  • 9fc48724cb9f70f774f7ed9e809e49979bd089dfd641896d8d5e3026f049b0af
  • a557f891f4d50e458d745c7eaf7d0be3eceea36f0398097e977cd3f6ec463875
  • ae610eb8f8622653b9be9692a7d2a680b0c2154022704ca58af0eaeed0066d03
  • b9dbe9649c761b0eee38419ac39dcd7e90486ee34cd0eb56adde6b2f645f2960
  • ba3fa920708db856737a66f70e2c7e86bba73c73836f7f30c2ce42cd70d0c5bd
  • c122596e25a4dad1d46d4ab983f4ef15bfa7b65582b7c311f404036766498105
  • c172abd808cc6216b309bc307fe69b821c7eaed35f874fd4684ab33b4291f95a
  • caf8295570e8a8244c7099a8eabfd1bd55ea50f026b4461e9f0f5425d54703e8
  • db265ea1732935f61e8d0f7a20a8adc54e20af71b3cf4a737714cd3377c838f6
  • dcae57ec4b69236146f744c143c42cc8bdac9da6e991904e6dbf67ec1179286a
  • e8979741f0355a47dae575ead8c829df47f282b4533ec1be4d63086515f9c449
  • e8e76b851fc78d87fe58ad7d29bc6356a8965236d1b96c5f572334dd695d5de9
  • ee1e5b80a1d3d47c7703ea2b6b64ee96283ab3628ee4fa1fef6d35d1d9051e9f
  • f5bf914415faf7587958bbdc3312536fd9abea647f1541d44d2e757f0e683650
  • f8fc9b40b946b742d6044f291914439727e1a7f53ea87562446f682b26cce65a
  • fad25892e5179a346cdbdbba1e40f53bd6366806d32b57fa4d7946ebe9ae8621
  • fc21a125287c3539e11408587bcaa6f3b54784d9d458facbc54994f05d7ef1b0
  • ff5e40fc794e56fd78feb6eb6b30794970f7cdb4a767c4095e2d20a90bb0efe8
Похожие записи:
  1. OCX#HARVESTER Campaign IOCs
  2. DB#JAMMER Campaign IOCs
  3. RedGolf APT IOCs
  4. TACTICAL#OCTOPUS IOCs
  5. Cobalt Strike IOCs - Part 3
Campaign Cobalt Strike Securonix SSLoad
Добавить комментарий