MorLock APT IOCs

security IOC
Опубликовано

F.A.C.C.T.сообщает о новой преступной группировке вымогателей, известной как MorLock. С начала 2024 года MorLock атаковала, по меньшей мере, 9 российских компаний, в основном средних и крупных предприятий. Группировка использует программы LockBit 3 (Black) и Babuk ransomware для атак на компании.

MorLock использует схожие тактики и техники, как и другие кибербанды, что затрудняет их идентификацию. Однако, благодаря уникальной сигнатуре, MorLock может быть идентифицирована как отдельная группировка. В записках с требованиями выкупа, MorLock указывает только идентификатор для мессенджера Session.

MorLock зашифровывает данные в IT-инфраструктуре жертв и требует выкуп в размере десятков и сотен миллионов рублей. Векторы атаки включают уязвимости в публичных приложениях и учетные данные, приобретенные на закрытых торговых площадках. Злоумышленники также сканируют сеть, используя фреймворк Sliver и инструменты, такие как SoftPerfect Network Scanner и PingCastle. MorLock также отключает антивирусные системы и использует PsExec для распространения вымогательского ПО.

MorLock загружает некоторые инструменты непосредственно с официальных сайтов и распространяет их через жертвы с использованием PsExec. Полный список используемых инструментов включает LockBit 3 (Black), Babuk, Sliver, Facefish, Godzilla, SoftPerfect Network Scanner, PingCastle, resocks, localtonet, притворщик, AnyDesk, putty, XenAllPasswordPro, nssm и PsExec.

Учитывая активность MorLock и их методы атаки, она представляет серьезную угрозу для российских компаний.

Indicators of Compromise

IPv4

  • 169.150.197.10
  • 185.188.183.27
  • 185.188.183.96
  • 188.143.235.176
  • 195.2.76.120
  • 94.103.84.207

URLs

  • http://easylink.lol
  • http://linuxpythonupdate.com

SHA256

  • 077fa453937cc24f3e22c7086fbecd53b25bde5b7144a072c9129c9a924ecf5a
  • 0ef4fca61ed96e86b2a34aba0c18ba6580b25868c28ee7b32e50510e637a3b1c
  • 2c0bbfcad714243a11d0d059b6977af7851c7387ef7b3e9948a5d30075b34f2b
  • 2e42ddd590f2d5ed82de9f726760845c72ea34b6e908faffe87293a69dcb0762
  • 37562fb539eea00883ba6cb530c43b9fe18a0dc512d3f4280c436907e360f5cc
  • 3899f080e2d6069c2554393da081e712d22556ff852125d35b38159cf2baac00
  • 3d419aaa79cbcadb3a305ab448dd71ac5f4c59918cddacc36cffd823072b8ea5
  • 4f78cc1c81dde9893ccdb4696cf42e17fa67abf2aef2faecdeb4245ab33a04ec
  • 57e564a7a25e9dbade7037d1127e5b56f5afa840641c50c4388de861cd588864
  • 5b1c107058d3873ada9428981c989e16b915cdcb7505e1b5734946d5902bb7a2
  • 615f660a4153bbf3f57f02f8081ff500ad204b1b673564e0da9598a6360c2d89
  • 7db4db23f01e1604f1be05c09e431623de14a1ec1957cf052ea71be1c4f5ce5b
  • 7e6a08be208b643f71b609ba0824e13b4c81b84aaff328dc863f0cadac1e0614
  • 81a08c01170641f08236adcbf866c82de6bcb9e993bca8643e35e75be066f0b9
  • 847cb6c88280370031a9629a417101948d0aa7d973199ba788abed7359958d78
  • 9136e00ffe1367972d855b2f1220e8f81e68b39554a47670816a1f6523fb42a8
  • 9cd364e91e4fb7d07a8be149fee3045ada997aa9ae87704318c3be0d86d79ac6
  • 9fbf0fd5c80c2df04433900e14204883d39da6c1469e1b2c2ee710c2cb33a4c9
  • a54519b7530039b9fba9a4143bf549b67048f441bbebf9f8d5cff1e539752189
  • a9076ae61b6019801289b0ae8d8714f902491f3f988bbfc71329f763b63a3256
  • b78d8787839e10950ea4b1bf211cb3634e09c5596cb4e03f028ae84654f28abb
  • bcfbd324f17e2e9a5daee609ee87c2298fe2ed9567596df2cee31f4ef2ddb03a
  • cfcbe44fb4e7688cefba54b2fd06b348c254307869d4fcd55abc69c65a2ff743
  • d05ea5197a854415868f0aef1d67cb18aadce3fc1049d21efdf137ce79d82ec1
  • d10996d627adec7ae4cfd25a23b034387db98de569da9f7795520c0c49944698
  • d4001e8dc706d7ff5611982dc8591adbe642eed147e7201af94bdd9891511109
  • d8e02b7c19b616d783d7018ff23874078d8d8d2489fb74a75298a265744717ea
  • de9aa8830d4c8eed0c748441128895fdfc31724fd41ba4e42d0207e5f122525e
  • dec147d7628d4e3479bc0ff31413621fb4b1b64a618469a9402a42816650f92b
  • ed2fa9ec8013a14cc60466884f5b09fe1de652176e1f2544b8599ce5128c4c82
  • fd96579871dea7615c05393284a64f390f7f25988d4d78012103d50a625a9cb9
Похожие записи:
  1. Новейшие семейства Linux & ESXi Ransomware
  2. LockBit Ransomware IOCs
  3. LockBit 2.0 Ransomware IOCs
  4. LockBit 2.0 Ransomware IOCs - Part 2
  5. LockBit 3.0 Ransomware IOCs
AnyDesk APT Babuk F.A.C.C.T. Facefish localtonet LockBit MorLock nssm PingCastle pretender PsExec putty Ransomware resocks Sliver XenAllPasswordPro
Добавить комментарий