DarkTortilla Malware IOCs

security IOC

DarkTortilla - это сложный и высококонфигурируемый шифровальщик на базе .NET, который, возможно, активен как минимум с августа 2015 года. Он обычно поставляет популярные программы для кражи информации и трояны удаленного доступа (RAT), такие как AgentTesla, AsyncRat, NanoCore и RedLine.

Несмотря на то, что в основном он поставляет вредоносные программы, исследователи Secureworks® Counter Threat Unit™ (CTU) выявили образцы DarkTortilla, поставляющие целевые полезные нагрузки, такие как Cobalt Strike и Metasploit. Он также может поставлять "пакеты дополнений", такие как дополнительные вредоносные полезные нагрузки, доброкачественные документы-приманки и исполняемые файлы. Он имеет надежные средства защиты от анализа и вскрытия, которые могут затруднить обнаружение, анализ и уничтожение.

С января 2021 года по май 2022 года в аналитическую службу VirusTotal загружалось в среднем 93 уникальных образца DarkTortilla в неделю. Сходство кода указывает на возможные связи между DarkTortilla и другими вредоносными программами: криптером, управляемым группой угроз RATs Crew, которая была активна с 2008 по 2012 год, и вредоносной программой Gameloader, появившейся в 2021 году.

Indicators of Compromise

URLs

  • https://pastebin.pl/view/raw/60b6b03b

MD5

  • 0e362e7005823d0bec3719b902ed6d62
  • 0f89a2015ed9c1be5522e27c00276e52
  • 2d74df3ce221f6ff48d20bac158a3e78
  • 59295e810bbdbfd64b8c41316ea13cae
  • 6e91ad0972e104a277505104abe39d1e
  • 827258f907c5087f498c413d28e2203e
  • 84872b60072011eab8940f3b49bdb582
  • 851816aa8cf45ba769f0d9420acfb3e5
  • 8d8c551dd572a1dc158de239b37eaa9a
  • 93fe6600c51014d7d6c2afedf8398f92
  • c37aae0ff565a2e44f144f837b750279
  • cd49f7c3c4e82dee128eedea9879bc33
  • f44695a8febb2a35576a59fa984629d2

SHA1

  • 0563e691801251cdfd363eee31858ead5ee3928b
  • 18391a58ee25a5cb8dfbf4d48517b5b0c66c5ae6
  • 261d699c3bb1a0042b88a45ed340f2d86149464f
  • 37ec57e5da46dc1990941a1bb3ffab9e74db346a
  • 3da0f44d45a1d6676d52ce691d2f6d754eb3097e
  • 4178d5efa388caf2d0ffd4539cf285b1de5ffab6
  • 590d860b909804349e0cdc2f1662b37bd62f7463
  • 5ad5b35f6cc093067c6f219f2d2107f44248c5bb
  • 5e0cb6076002b11a39636e07a217b493835e5bce
  • 619bf90a8ea219e34bf57dda1a322914b9fa1c81
  • 6d4b4bcd107b09af37996c73a6448379a31aaac4
  • 8f7340704745f3d53b284c101e93c42f8d4c2adc
  • dde386911b091e894746b0f12d88a1fd18761fb9

SHA256

  • 083acce46cb8cf35e37c778d1f4aee6814bca72d2874b793a47f9823f51df0fe
  • 0a5dc3b6669cf31e8536c59fe1315918eb4ecfd87998445e2eeb8fed64bd2f2c
  • 2d0dc6216f613ac7551a7e70a798c22aee8eb9819428b1357e2b8c73bef905ad
  • 45ef054bca2ae4d67e6623bf28ff75e5d178924602674c654e1b569aa74601cd
  • 4f15b28c91fa0e8d0dd9e86481bad04fa34fcaf564d08de7c4c0c513fc6e122d
  • 53b3b37b7d1e40c80fcda2c424cd837379ac2ce93023de6c22ba3e2d94679671
  • 55d7d9bd9d4a511417033b6c14ce93f962d6a6e6c6414f0cb7e455baee1d3ab7
  • 5be86cfca25e295f88b5aab42a6f604d2f1bb97f3c73b01df664c137908e2ec4
  • 5e03556be992d23088a3c49d24c45b1c21cd275bffb4e536348e8128d50374b6
  • 93dd1202697dbaed9ef4f4707f2628212bf13aad096de29c14924b1dae1d6d5b
  • 981aa83b2d33cca994021197237ac5ee3ad3402f7d25f04f4e76985f4ec8744c
  • a0b96236bfd79d2ebeadb8e3deb9448af3ec8edd1ea9672b7ad4793934bb4c47
  • b3754c6ecc445e9a3b37c5ebe68adb9630ca4aa89a8e8515468f39ae8131f141
SEC-1275-1
Добавить комментарий