Исследователи из Team Cymru смогли изменить телеметрию угроз, используя в качестве исходных данных IOC из блога Yoroi Security, чтобы выявить несколько других C2. От начальной точки IP-адреса (69.174.99.181), связанного с командно-контрольным сервером Agent Tesla, можно было повернуть и определить внутренний сервер, на котором размещена база данных MySQL.
Отсюда дальнейший поворот привел исследователей Team Cymru к идентификации дополнительных C2, на которых размещалась C2-панель Mana Tools, а также общий сертификат, который может быть использован для повышения уверенности в приписывании будущей инфраструктуры этому угрожающему субъекту.
Agent Tesla
Indicators of Compromise
IPv4
- 103.133.105.61
- 103.151.122.110
- 103.153.77.98
- 155.94.209.50
- 161.129.64.49
- 192.154.226.47
- 194.31.98.108
- 207.32.217.137
- 42.201.155.21
- 42.201.155.40
- 64.188.20.198
- 64.188.21.227
- 64.188.27.104
- 69.174.99.181
- 72.11.143.125
- 72.11.143.47
- 72.11.157.208
- 78.138.105.142
Domains
- abotherrdpajq.duckdns.org
- bakuzamokala.duckdns.org
- bot.statusupdate.one
- cdec22.duckdns.org
- heavy-dutyindustry.shop
- microsoftiswear.duckdns.org
- mobibagugu.duckdns.org
- mobibanewdan.duckdns.org
- mobinomomuam.duckdns.org
- mohbeebnew.duckdns.org
- mubbibun.duckdns.org
- newbotv4.monster
- statusupdate.one
- update.newbotv2.monster
- update.newbotv4.monster
- vncgoga.duckdns.org
- warnonmobina.duckdns.org
- workflowstatus.live
URLs
- http://69.174.99.181/webpanel-reza/login.php
SSL Certificate SHA-1s
- b0238c547a905bfa119c4e8baccaeacf36491ff6