Follina Attacks IOCs

vulnerability IOC

Компания ReversingLabs проанализировала три вредоносные полезные нагрузки, циркулирующие в Интернете, которые были связаны с использованием недавно обнаруженного эксплойта Follina в Microsoft's Support Diagnostic Tool (MSDT). Компания ReversingLabs проанализировала три цепочки атак, которые использовали эксплойт Follina, чтобы закрепиться в целевых системах. Исследование ReversingLabs показало, что эксплойт Follina используется для доставки целого ряда распространенных инструментов эксплуатации и персистенции, включая Cobalt Strike, Mimikatz (утилита для сбора учетных данных), а также сценарии PowerShell, используемые для получения постоянного доступа и сбора данных и учетных данных из сетей жертв.


Кроме того, ReversingLabs обнаружила атаки с использованием новых методологий, включая использование системных вызовов для обфускации вредоносной полезной нагрузки и обхода технологий мониторинга API; использование команды "net use" с именем пользователя и паролем для выполнения полезной нагрузки на смонтированном сетевом ресурсе; и развертывание нового, пока еще не идентифицированного вредоносного ПО.
Исследование подчеркивает угрозу, исходящую от Follina, которая значительно расширяет возможности злоумышленников "жить за счет земли" в средах жертв: использование встроенных административных инструментов и функций для повышения прав доступа.

Indicators of Compromise

IPv4

  • 45.77.45.222
  • 5.206.224.233
  • 65.20.75.158

IPv4 Port Combinations

  • 45.77.45.222:110

Domains

  • files.attend-doha-expo.com
  • seller-notification.live
  • t1bet.net
  • telecomly.info
  • tibetyouthcongress.com
  • www.telecomly.info

URLs

  • http://65.20.75.158/0524x86110.exe
  • https://files.attend-doha-expo.com/inv.html
  • https://seller-notification.live/JFhfdsfo1234vdv
  • https://seller-notification.live/Zgfbe234dg

SHA1

  • 1c52a8bab1e5a107837c2d9abab1c73d571dc15d
  • 3c7674214e21cc4ec6a92555a1e6d1ad5c7ed36f
  • 64e5715d590c54a7c06baceef19e84ef672bc257
  • 6e9e90431e5e660071b683d121ad887d3726a4a0
  • 70dcbbcc20addef04eae7bf66c1545a935005c69
  • 7ed97610cdee3c69be2961543ce619485b680572
  • 82b0beb6fff9a90dc40b300ebf1b0ec4977ba8ad
  • 83fde764f70378b4b0610d87e86faac6dc5bc54b
  • 8b095d4f5b1ef62b40507e6155a55214243f2c85
  • 8ea0fea3e9787f270a9a23e3335b7b8e35475b06
  • b0b952334f0d0195b06faed532170263f7fad6c2
  • da80a38090ef8cb52e91e639ea267c4f24bf3a21
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий