Agent Tesla Malware IOCs

security IOC

Исследователи из Team Cymru смогли изменить телеметрию угроз, используя в качестве исходных данных IOC из блога Yoroi Security, чтобы выявить несколько других C2. От начальной точки IP-адреса (69.174.99.181), связанного с командно-контрольным сервером Agent Tesla, можно было повернуть и определить внутренний сервер, на котором размещена база данных MySQL.

Отсюда дальнейший поворот привел исследователей Team Cymru к идентификации дополнительных C2, на которых размещалась C2-панель Mana Tools, а также общий сертификат, который может быть использован для повышения уверенности в приписывании будущей инфраструктуры этому угрожающему субъекту.

Agent Tesla

Indicators of Compromise

IPv4

  • 103.133.105.61
  • 103.151.122.110
  • 103.153.77.98
  • 155.94.209.50
  • 161.129.64.49
  • 192.154.226.47
  • 194.31.98.108
  • 207.32.217.137
  • 42.201.155.21
  • 42.201.155.40
  • 64.188.20.198
  • 64.188.21.227
  • 64.188.27.104
  • 69.174.99.181
  • 72.11.143.125
  • 72.11.143.47
  • 72.11.157.208
  • 78.138.105.142

Domains

  • abotherrdpajq.duckdns.org
  • bakuzamokala.duckdns.org
  • bot.statusupdate.one
  • cdec22.duckdns.org
  • heavy-dutyindustry.shop
  • microsoftiswear.duckdns.org
  • mobibagugu.duckdns.org
  • mobibanewdan.duckdns.org
  • mobinomomuam.duckdns.org
  • mohbeebnew.duckdns.org
  • mubbibun.duckdns.org
  • newbotv4.monster
  • statusupdate.one
  • update.newbotv2.monster
  • update.newbotv4.monster
  • vncgoga.duckdns.org
  • warnonmobina.duckdns.org
  • workflowstatus.live

URLs

  • http://69.174.99.181/webpanel-reza/login.php

SSL Certificate SHA-1s

  • b0238c547a905bfa119c4e8baccaeacf36491ff6

 

SEC-1275-1
Добавить комментарий