Orchard Botnet IOCs

botnet IOC

Компания Netlab 360 уже долгое время занимается исследованием технологий атаки и защиты ботнетов и поддерживает специальную библиотеку алгоритмов и разведданных DGA. Недавно, анализируя ранее неизвестный DGA-домен, NetLab обнаружила пример использования даты и информации о транзакциях по счету Bitcoin для генерации имени DGA-домена.

Из-за "рандомизации" хэшей транзакций Bitcoin эта техника менее предсказуема, чем предыдущие версии, генерируемые по времени, и поэтому от нее сложнее защититься.
Новая технология доменных имен была обнаружена в семействе ботнетов под названием Orchard. С момента первого обнаружения этого семейства в феврале 2021 года NetLab 360 обнаружила, что оно претерпело как минимум 3 изменения версий и даже сменило языки программирования между ними. Объединив результаты долгосрочного отслеживания, NetLab считает, что Orchard будет продолжать упорствовать и развиваться. Последняя версия Orchard предназначена для майнинга криптовалют.

Indicators of Compromise

IPv4

  • 205.185.124.143
  • 45.61.185.231
  • 45.61.185.36
  • 45.61.186.52
  • 45.61.187.240

IPv4 Port Combinations

  • 45.61.187.7:7733

Domains

  • ojena.duckdns.org
  • orcharddns.duckdns.org
  • orchardmaster.duckdns.org
  • vgzero.duckdns.org
  • victorynicholas.duckdns.org
  • zamarin1.duckdns.org

MD5

  • 00b1620f89b7980b34d53737d9e42fd3
  • 10D42F5465D5D8808B43619D8266BD99
  • 19159280736dbe6c11b7d6a57f6bb7b9
  • 2b244a39571ab27f7bb4174d460adeef
  • 3c20ba851edecd28c198691321429883
  • 4d2445a43591d041cabbbf3dfca6dfbd
  • 5c883ff8539b8d04be017a51a84e3af8
  • 91ac64d29f78281ad802f44648b2137f
  • 9cbe4bd27eba8c70b6eddaeb6707659b
  • ae1e9b3621ee041be6ab5e12bff37c53
  • b5a6f78d5575a60316f4e784371d4f8c
  • cb442cbff066dfef2e3ff0c56610148f
  • f3c06399c68c5fdf80bb2853f8f2934b
  • f3e0b960a48b433bc4bfe6ac44183b74
SEC-1275-1
Добавить комментарий