Avos APT IOCs

botnet IOC
Опубликовано

Avos - это группа программ-вымогателей, впервые выявленная в 2021 году, первоначально нацеленная на машины под управлением Windows. Совсем недавно новый вариант вымогательского ПО AvosLocker, названный в честь группы, также нацелился на Linux-среды.

AvosLocker Ransomware

Avos APT

Avos действует с июня 2021 года и следует модели ransomware-as-a-service (RaaS) - партнерской программе для привлечения потенциальных партнеров. Анонс программы включает информацию об особенностях ransomware и дает аффилированным лицам знать, что операторы AvosLocker будут вести переговоры и заниматься вымогательством. Пользователь "Avos" также был замечен в попытках вербовки людей на российском форуме XSS.

Как правило, Avos использует спам-рассылки электронной почты в качестве начального вектора заражения для доставки ransomware. Однако в данном конкретном случае начальным вектором стал сервер ESXi, открытый в Интернете через унифицированные шлюзы доступа VMWare Horizon (UAG), который был подвержен уязвимости Log4Shell.

На начальных этапах атаки было предпринято предпринял множество шагов, чтобы закрепиться в сети жертвы. На конечных точках было замечено несколько других полезных нагрузок и вредоносных инструментов, а также использование живых двоичных файлов (LoLBins). Несколько сценариев PowerShell загружали дополнительные файлы, включая Mimikatz, полезную нагрузку Sliver с меткой "vmware_kb.exe" и архив .zip под названием "IIS Temporary Compressed Files.zip", содержащий маячки Cobalt Strike и сканер портов с меткой "scanner.exe". Этот сканер портов является коммерчески доступным продуктом, который Avos известен тем, что развернул его под названием SoftPerfect Network Scanner. Позже в тот же день злоумышленники использовали WMIC для изменения административных настроек на локальном и удаленном хостах, что свидетельствует о первых этапах латерального перемещения.

Indicators of Compromise

IPv4

  • 176.113.115.107
  • 45.136.230.191

URLs

  • http://45.136.230.191:4000/D234R23

SHA256

  • 29a3ae1d32e249d01b39520cd1db27aa980e646d83694ff078424bed60df9304
  • 48514e6bb92dd9e24a16a4ab1c7c3bd89dad76bef53cec2a671821024fadcb2b
  • 61239d726c92c82f553200ecbec3ac18d251902fb9ca4d4f52263c82374a5b75
  • 63bdd396ff6397b3a17913badb7905c88e217d0a8cf864ab5e71cc174a4f97a1
  • 63ebb998ebbbfe3863214a85c388fc23b58af4492b2e96eb53c436360344d79d
  • 912018ab3c6b16b39ee84f17745ff0c80a33cee241013ec35d0281e40c0658d9
  • 978dffa295ac822064ff6f7a6b6bc498e854f833d36633214d35ccce70db4819
  • cac73029ad6a543b423822923967f4c240d02516fab34185c59067896ac6eb99
  • cee38fd125aa3707DC77351dde129dba5e5aa978b9429ef3e09a95ebf127b46b
  • e4af7f048e93b159e20cc3efbacdb68e3c1fb213324daf325268ccb71f6c3189
  • e68f9c3314beee640cc32f08a8532aa8dcda613543c54a83680c21d7cd49ca0f
  • f2faa8a91840de16efb8194182bcfa9919b74a2c2de40d6ed4791a3308897a01
  • ffd933ad53f22a0f10cceb4986087258f72dffdd36999b7014c6b37c157ee45f

Похожие записи:

  1. DangerousSavanna APT IOCs
  2. Scarlet Mimic APT IOCs
  3. Metador APT IOCs
  4. Fancy Bear (APT28) APT IOCs - Part 2
  5. TA413 APT IOCs
APT Avos
Добавить комментарий