От IcedID до Dagon Locker Ransomware

security IOC
Опубликовано

В отчете DFIR приводится подробный отчет о сложном вторжении, которое началось с фишинговой кампании с использованием PrometheusTDS для распространения вредоносного ПО IcedID в августе 2023 года.


Вредоносная программа IcedID сохраняла устойчивость, связывалась с серверами C2 и сбрасывала маяк Cobalt Strike, который использовался для бокового перемещения, утечки данных и развертывания выкупного ПО. Угрожающий субъект также использовал набор инструментов, таких как Rclone, Netscan, Nbtscan, AnyDesk, Seatbelt, Sharefinder и AdFind. Кульминацией вторжения стало развертывание вымогательского ПО Dagon Locker через 29 дней.

Угрожающие лица использовали различные техники для обфускации JavaScript-файла и шелл-кода Cobalt Strike, обхода обнаружения, сохранения персистентности и сетевого перечисления. Действия угроз включали в себя злоупотребление функциями бокового перемещения, такими как PsExec и Remote Desktop Protocol (RDP), эксфильтрацию файлов, сброс и эксфильтрацию журналов событий Windows Security, а также использование команд PowerShell, выполняемых с маяка Cobalt Strike.

Кроме того, угрожающий субъект использовал несколько методов эксфильтрации, включая использование Rclone и AWS CLI, чтобы извлечь данные из взломанной инфраструктуры. Развертывание вымогательского ПО Dagon Locker было облегчено за счет использования пользовательского сценария PowerShell, AWScollector и модуля locker, а также специальной команды PowerShell, запущенной с контроллера домена для развертывания вымогательского ПО на различных системах. В результате этого инцидента все системы были поражены вымогательским ПО Dagon Locker.

Indicators of Compromise

IPv4

  • 23.159.160.88
  • 45.15.161.97
  • 51.89.133.3
  • 87.251.67.168

Domains

  • ewacootili.com
  • fraktomaam.com
  • magiraptoy.com
  • moashraya.com
  • oopscokir.com
  • patricammote.com
  • restohalto.site
  • rpgmagglader.com
  • ultrascihictur.com
  • winupdate.us.to

MD5

  • 0d8a41ec847391807acbd55cbd69338b
  • 628685be0f42072d2b5150d4809e63fc
  • 7e9ef45d19332c22f1f3a316035dcb1b
  • a144aa7a0b98de3974c547e3a09f4fb2
  • b3495023a3a664850e1e5e174c4b1b08
  • bff696bb76ea1db900c694a9b57a954b

SHA1

  • 34c9702c66faadb4ce90980315b666be8ce35a13
  • 38cd9f715584463b4fdecfbac421d24077e90243
  • 437fe3b6fdc837b9ee47d74eb1956def2350ed7e
  • 4e0222fd381d878650c9ebeb1bcbbfdfc34cabc5
  • 5066e67f22bc342971b8958113696e6c838f6c58
  • ca10c09416a16416e510406a323bb97b0b0703ef

SHA256

  • 332afc80371187881ef9a6f80e5c244b44af746b20342b8722f7b56b61604953
  • 65edf9bc2c15ef125ff58ac597125b040c487640860d84eea93b9ef6b5bb8ca6
  • 839cf7905dc3337bebe7f8ba127961e6cd40c52ec3a1e09084c9c1ccd202418e
  • 9da84133ed36960523e3c332189eca71ca42d847e2e79b78d182da8da4546830
  • a0191a300263167506b9b5d99575c4049a778d1a8ded71dcb8072e87f5f0bbcf
  • f6e5dbff14ef272ce07743887a16decbee2607f512ff2a9045415c8e0c05dbb4

 

Похожие записи:
  1. Nokoyawa Ransomware IOCs - Part 3
  2. BlackCat/ALPHV Ransomware IOCs
  3. Monster Libra APT IOCs
  4. DAGON LOCKER Ransomware IOCs
  5. Black Basta Ransomware IOCs - Part 7
AdFind AnyDesk Cobalt Strike DAGON LOCKER DFIR IcedID Nbtscan Netscan PrometheusTDS Ransomware Rclone Seatbelt Sharefinder
Добавить комментарий