Chaos Botnet IOCs

botnet IOC

Распространенность вредоносных программ, написанных на языке программирования Go, резко возросла в последние годы благодаря его гибкости, низкой степени обнаружения антивирусами и сложности обратного инжиниринга. Black Lotus Labs, подразделение компании Lumen Technologies, занимающееся анализом угроз, недавно обнаружило многофункциональное вредоносное ПО на базе языка Go, разработанное как для Windows, так и для Linux, а также для широкого спектра программных архитектур, используемых в устройствах от маршрутизаторов для малого офиса/домашнего офиса (SOHO) до корпоративных серверов.

Lumen Technologies обнаружили и проанализировали около 100 образцов вредоносной программы, названной Chaos, которая была написана на китайском языке и использовала китайскую инфраструктуру для управления и контроля. Функциональные возможности Chaos включают в себя способность перечислять окружение хоста, выполнять удаленные команды shell, загружать дополнительные модули, автоматически распространяться путем кражи и перебора закрытых ключей SSH, а также запускать DDoS-атаки. Используя систему мониторинга глобальной сети Lumen, компания Black Lotus Labs определила C2 и цели нескольких отдельных кластеров Chaos, включая успешную компрометацию сервера GitLab и серию недавних DDoS-атак, направленных на игровую индустрию, финансовые услуги и технологии, СМИ и развлечения, а также на поставщиков DDoS-услуг и криптовалютную биржу.

Хотя инфраструктура ботнета сегодня сравнительно меньше, чем у некоторых ведущих семейств DDoS-вредоносных программ, Chaos продемонстрировал быстрый рост за последние несколько месяцев. Учитывая пригодность вредоносной программы Chaos для работы на различных потребительских и корпоративных устройствах, ее многоцелевую функциональность и скрытный профиль сетевой инфраструктуры, стоящей за ней, мы с умеренной уверенностью считаем, что эта активность - дело рук киберпреступника, который создает сеть зараженных устройств, чтобы использовать ее для первоначального доступа, DDoS-атак и добычи криптовалюты.

Indicators of Compromise

IPv4

  • 103.214.140.15
  • 103.254.72.193
  • 104.208.104.44
  • 104.208.110.120
  • 104.244.78.243
  • 112.132.215.95
  • 137.175.17.80
  • 154.19.202.14
  • 154.211.21.221
  • 155.94.141.226
  • 156.254.126.18
  • 169.129.117.68
  • 172.93.101.107
  • 180.76.101.231
  • 194.36.170.149
  • 20.187.95.103
  • 205.185.125.40
  • 216.250.106.198
  • 23.224.132.58
  • 23.225.194.65
  • 23.226.76.122
  • 43.142.157.239
  • 45.125.44.237
  • 45.125.44.251
  • 47.242.15.186
  • 47.99.44.19
  • 5.180.44.53

IPv4 Port Combinations

  • 112.132.212.55:8080
  • 115.126.74.200:8888
  • 154.209.91.133:1997
  • 198.98.55.123:8080
  • 20.90.110.121:8080
  • 23.225.194.65:8080
  • 43.155.37.192:9949

Domains

  • bitantcoins.pro
  • bb.hash3688.com
  • Domain Port Combinations
  • a.nqb001.com:36991
  • abc.cfed.cc:8086
  • ai.nqb001.com:7812
  • are.nishabig.pro:7777
  • ars1.wemix.cc:9090
  • botnet.ddoswow.site:10010
  • js.wanpay1.cn:8332
  • kivspace.xyz:8567
  • linuxddos.net:2323
  • quanquandd.top:8888
  • skyeda.vip:3580
  • tf.xiaozhuddos.co:1997
  • tomca1.com:10099
  • x.xlg360.xyz:8087
  • xiaomai233.f3322.net:8080

SHA256

  • 2b935b3c308727d46ddd00ea776caeb1137a2cc3b43b055667dfdea42f98170a
  • 3c908b576e0ddadb5c94122e8f11b6701201518fa99e6cc33f69f17168da6d88
  • d315b83e772dfddbd2783f016c38f021225745eb43c06bbdfd92364f68fa4c56
  • db412892acc683df340211b28ca3545d550e0a1de4bf0a2565b2b83bb31e0357
  • e0e3d23222d71bbebae6afd37dcc436f9f5c8e56dd6ece8c8d63c162826dd99c
  • ebe0f9855eb8f6bd980ed60c26e3a877dc1ace5d664e248bb0558996fe0bd06f
  • fecfa6e2e6d4224082e09da7b42878f9e6ab9966a6f7a4cd120603f0bd59e72a
SEC-1275-1
Добавить комментарий