ModernLoader RAT IOCs

security IOC

Cisco Talos недавно наблюдала три отдельные, но связанные между собой кампании, которые в период с марта по июнь 2022 года передавали жертвам различные угрозы, включая бота ModernLoader, похитителя информации RedLine и вредоносное ПО для майнинга криптовалюты.

Злоумышленники используют PowerShell, сборки .NET, а также файлы HTA и VBS для распространения по целевой сети, в конечном итоге подбрасывая другие части вредоносного ПО, такие как троян SystemBC и DCRAT, для обеспечения различных этапов своих операций. Использование злоумышленниками разнообразных готовых инструментов затрудняет отнесение этих действий к конкретному противнику.

Конечной полезной нагрузкой является ModernLoader, который действует как троян удаленного доступа (RAT), собирая системную информацию и устанавливая различные модули. В более ранних мартовских кампаниях мы также наблюдали, как злоумышленники поставляли вредоносное ПО XMRig для майнинга криптовалюты. Мартовские кампании, по-видимому, были нацелены на пользователей из Восточной Европы, поскольку утилита-конструктор, которую мы проанализировали, имела предопределенные шаблоны сценариев, написанные на болгарском, польском, венгерском и русском языках.

Действующие лица пытаются скомпрометировать уязвимые веб-приложения для рассылки вредоносного ПО и доставки угроз через файлы, маскирующиеся под поддельные подарочные карты Amazon.

Indicators of Compromise

IPv4

  • 31.41.244.231
  • 31.41.244.235
  • 62.204.41.192
  • 62.204.41.71

IPv4 Port Combinations

  • 31.41.244.235:45692

URLs

  • http://31.41.244.231/0x/?0=RedLine
  • http://31.41.244.231/0x/Loader.go
  • http://31.41.244.231/0x?0=Loader
  • http://31.41.244.231/0x?0=WindowsAnalyticsConfiguration
  • http://31.41.244.231/0xMine/go.go
  • http://31.41.244.231/0xMine/RegAsm.go
  • http://31.41.244.231/0xMine/Temp.exe
  • http://31.41.244.231/0xNANA/no.go
  • http://31.41.244.231/0xSocks/go.go
  • http://31.41.244.231/AVAVA/gate.php
  • http://31.41.244.231/AVAVA/WAW/APPDATA/go.oo
  • http://31.41.244.231/AVAVA/WAW/Documents/go.oo
  • http://31.41.244.2311/AVAVA/WAW/APPDATA/go.oo
  • http://31.41.244.2311/AVAVA/WAW/Documents/go.oo
  • http://62.204.41.71/Offer/Offer.oo
  • http://62.204.41.71/SPM/Spam.o
  • http://go.clss.cl/0k#=GoogleWindowsAnalyticsConfiguration
  • https://goo.su/DaqHw

SHA256

  • 09db213df3dbd950a8bc75246be72f5b572b00dbd3a5bba45c7074443d0928a7
  • 142c333bef9eab4ce9d324e177572423c845ee399c01b4b78cfff730b4cb79b4
  • 1c58274fbbeaf7178a478aea5e27b52d5ead7c66e24371a4089568fa6908818c
  • 1ddbf6cb9e4c92e93118d8f2ca98922195cf683926777b2c160f5d05d52f3fd5
  • 21e72be7f818e2afd4d53ee8f16c7e4a4718a95dd75b90d83fa26181e426f578
  • 2c631588c491aa32c20f6a99201ba82982a31b1c763054562d59cd1a5a1ea14b
  • 3232126860f3729dda59f9db6476773997b4bcfb08e2e4b32b5214c30507d775
  • 3f2f84147c55e5fc42261ace15ad55239d0bcba31a9acd20b99c999efbb9d392
  • 3f5856a9ec23f6daf20fe9e42e56da1b8dcb0de66b6628a92b554d6e17c02fc3
  • 40d68523748f6eaf765970a40458faccbe84ef5dff7acbdaf29ac5a69d7cae6f
  • 435aa8b19125d795ada322aa8e30f3dd9afa03a4ac1350177c920426d1b17a47
  • 4621924ff1b05ad7c15bc4b5dad68f7c8c3eceaf7824444b149264eff79d4b9a
  • 4a6ef2379195140aa31d339329ca06bd28589fa13fd88cfcf9d76cb2d4ab99c1
  • 53b09a7c8bf41ed9015b8e3a98fb8b8581e82d17c1ead0bd0293f2e3e9996519
  • 5750d8d557fdcb6afb2d8cb52993fb07ac84a63aab0afc44efe30ffe08d48c2f
  • 7e73bc53cd4e540e1d492e6fd8ff630354cd8a78134e99bc0b252eccb559c97a
  • 838170edffbca1cadef3b7039330376c1aad914883103834c25e9bb92d9bfad1
  • 852857c66ee72f264c26d69c1f4092e99c2ed1fdcfef875f982fb75ed620ccc0
  • 881235fca4aeeb88950b952c0d9ce1a7d9a4eb838ce7d79447a26d2f45b1eaa5
  • 96cd98d42b896f6c92fd97b435d727497102ca91ce6e95252251a28e0c3fb9f8
  • 9704fa1a8242643f66572e7ee68e4e7d7bec9e7054319b8551fed4b3b0ccdd45
  • 9b347b48026f205733abbc24c502dfff5428341e10c6944687cdbfe70770f5f3
  • a249c275b0ad384ae1906d2ec169f77abce9d712ab8470eb5fe7040a71948026
  • b71c43bf7af23ed6a12bdb7ce96a4755b8a7f285b8aa802484e8b2dfa191f14e
  • c103c7686739669f3cfc123de34bdadb803c4ec8727cf12cd7cdc56be4bf60e1
  • d9c8e82c42e489ac7a484cb98fed40980d63952be9a88ff9538fc23f7d4eb27f
  • dc5255a5bcc89266ea0c7ca79f7a52ab281cbb6cc1980ee5b3a818114c01b93c
  • dd24e5596c318b30c05cffc7467f5649564ab93874c9201bf758a1a2ce05228c
  • eb37c756c60a75068bfe88addd24e209080fe5383d25c919ea40fe78fff98612
  • f013d15d2203ec6a90be789d4b58c99ca7e42d9beedb9c4c0b05f599e2eb0ea0

Mutex

  • 39cb3ed9d64849789471d05f94b7b62a
SEC-1275-1
Добавить комментарий