SocGholish Malware IOCs - Part 2

security IOC

SocGholish - это вредоносная программа на JavaScript, которая используется как минимум с 2017 года. Он распространяется через ряд вредоносных сайтов, утверждающих, что они предоставляют критические обновления для браузеров. На самом деле эти сайты предназначены для того, чтобы обманом заставить жертву загрузить и установить вредоносное ПО - обычно в виде файлов .zip или .js.

SocGholish Malware

После того, как конечный пользователь вручную распаковывает и выполняет архивный файл, дважды щелкнув по его содержимому, происходит развертывание различных вредоносных программ, которые могут включать трояны удаленного доступа (RAT), программы для кражи информации и маячки Cobalt Strike. Все эти вредоносные программы являются лишь промежуточным этапом для целенаправленных ransomware-атак на корпорации и организации, приводящих к серьезным нарушениям бизнес-операций и значительным финансовым потерям.

Инфраструктура SocGholish, скорее всего, принадлежит к высокоразвитой группе, проанализированной компанией PRODRAFT в 2020-2021 годах, которую они называют SilverFish.

SocGholish

Indicators of Compromise

IPv4

  • 141.94.63.231
  • 141.94.63.238
  • 146.19.188.108
  • 153.92.223.141
  • 195.123.246.184
  • 23.140.176.43
  • 45.10.42.26
  • 45.10.43.78
  • 79.142.69.149

Domains

  • active.aasm.pro
  • active.xomosagency.com
  • actors.jcracing.com
  • adsprofitnetwork.com
  • amplifier.myjesusloves.me
  • baget.godmessaged.me
  • cachespace.net
  • cardo.diem-co.com
  • casting.faeryfox.com
  • cats.johnbeach.us
  • center.blueoctopuspress.com
  • cigars.pawscolours.com
  • clickanalytics208.com
  • clickstat360.com
  • cloud.bncfministries.org
  • common.dotviolationsremoval.com
  • community.wbaperformance.com
  • connect.codigodebarra.co
  • cruize.updogtechnologies.com
  • d2j09jsarr75l2.cloudfront.net
  • design.lawrencetravelco.com
  • easycounter210.com
  • expense.brick-house.net
  • genesis.ibgenesis.org
  • gohnson.advanceditsolutionsaz.com
  • hares.lacyberlab.net
  • havana.littlehavanacigarstore.com
  • hemi.mamasbakery.net
  • hope.point521.com
  • hunter.libertylawaz.com
  • mafia.carverdesigngroup.com
  • master.ilsrecruitment.com
  • mycontrol.alohaalsomeansgoodbye.com
  • natural.cpawalmyrivera.com
  • nivea.dreamworkscdc.com
  • performer.stmhonline.com
  • puzzle.tricityintranet.com
  • query.dec.works
  • record.usautosaleslv.com
  • republic.beboldskincare.com
  • rituals.fashionediter.com
  • sdk.expresswayautopr.com
  • second.pmservicespr.com
  • stanley.planilla2021.com
  • statclick.net
  • staticvisit.net
  • syncadv.com
  • training.ren-kathybermejo.com
  • vacation.thebrightgift.com
  • wallpapers.uniquechoice-co.com
  • webcachespace.net
  • webcachestorage.com
  • west.bykikarose.com
SEC-1275-1
Добавить комментарий