Agent Tesla Spyware IOCs - Part 9

Spyware IOC

30 сентября 2022 года Microsoft Defender Threat Intelligence (MDTI) обнаружила файл .RAR, размещенный в сети доставки контента (CDN) Discord. Файл .RAR содержал вредоносное ПО Agent Tesla, которое использовало бота Telegram для связи.


Канал Discord с идентификатором 956928735397965906, на котором был размещен файл .RAR, был создан 25 марта 2022 года, а сам файл .RAR был загружен 29 сентября 2022 года. По нашим предыдущим отчетам, мы часто не наблюдали такого большого промежутка времени между созданием канала и его дальнейшим использованием для размещения файлов вредоносного ПО, видимых на том же канале; мы часто видим, что создание канала происходит примерно в то же время, что и загрузка файла.
MDTI наблюдала другие файлы вредоносного ПО, некоторые из которых были сжатыми файлами, которые сбрасывали файлы, обнаруженные как Agent Tesla, размещенные на этом же канале. Некоторые из этих файлов не были обнаружены ни одним поставщиком.

Agent Tesla Spyware IOCs

Indicators of Compromise

URLs

  • http://cdn.discordapp.com/attachments/956928735397965906/1004543182098399272/orign_p_kEpPVqO61.bin
  • http://cdn.discordapp.com/attachments/956928735397965906/1004544301541363733/bantylogger_dhBqf163.bin
  • https://api.telegram.org/bot5088709131:AAFHCIxHU907RAI3XEaH2G6LgE9wrdrAgI0/sendDocument
  • https://cdn.discordapp.com/attachments/956928735397965906/1006148111393116200/yXfZJqhIAtCWEPINOAX189.thn
  • https://cdn.discordapp.com/attachments/956928735397965906/1011024921868116099/ljkfuP193.ttf
  • https://cdn.discordapp.com/attachments/956928735397965906/1011525020427763732/KqRRf17.jpb
  • https://cdn.discordapp.com/attachments/956928735397965906/1024726673964421181/PO.rar
  • https://cdn.discordapp.com/attachments/956928735397965906/1025059351389540494/PO_Swift34453234.rar
  • https://cdn.discordapp.com/attachments/956928735397965906/960596285306601543/AMAZON-FREE-VOUCHERSpay.rar
  • https://cdn.discordapp.com/attachments/956928735397965906/991350730902491227/Pro-forma_Agreement_Document.rar

MD5

  • c35b000c8c7ea6ede01da115c859529f

SHA256

  • 02b5e780bed2e64823aae399a003e33d08921b726f2fb8b73bc4f0b11876ee2f
  • 04d24c6cfb57e59cf16392e99823d25a6b9a98eb079f0bddb853eb83091bad52
  • 0b04702badb9dfd70f25c134366d6f98786403f821d37a34b860ec37edc9767e
  • 18e0ffc3832b0fbe21ce279e267bd20e602c2d316a7a9d6dbefc1a7338ff53ff
  • 1e03f6045766bdfd193594f6df3ff048c34f7196c7d3c46353b16c80775f3f22
  • 20c4d8e500029fd9c2c25e9f6030454bb002a1ab9f6bfadb3b2b12e8d88023a6
  • 21a0257a80d96294279a1053cd87a610bf7e78577bcd39b8c0f6b91f5c239715
  • 21a8d0c0ea0c2e7b8b21b82c6708f03d9c2bc7f8daaa685589e7fbc0800674ad
  • 25231af6514d65e25c72d03aa378fae1e5e2187a2373f72c49edcde0883ce034
  • 265f53cb9705f9165ff63e79c208398e9a2d703cc430bb2b1c2607661e41c08d
  • 284574cb373ca0e2ca0cc346c1539acb1f6a7ef6211a81126ea9fde56ddb96a7
  • 2884a6ab0975b510da0a79ca8470fd53f38062ef76c9e19308c8b9fdebff89ea
  • 29308abd96c66427b6f17da846bde637b3e0032f20e22cfce7a6f96b564062e1
  • 29e1bfa89b90745ee24eaf8244264976bb5cad790dacc1fa72be8f1f72c2783a
  • 3b8eb4a20ce438d61827d95c52168ece2b899f9ede2e38d1ef7d2ffc69b4855f
  • 3d4675990a22b7b649b90e569b987c1ea4324237add09703a6935725a82b4f78
  • 406b0f1f6d2462e4887efa5652ba1f898f2aa17f575e1291e559b80eb17c5686
  • 44e8bdb7a0eb87b0f2e1c856d4d9c6cc9fabb34e7eebd5e8541b72f40773e2a9
  • 48318cde098681062d78c600fd0e863d81f0d6fcad55d043e04e95a8438fb25e
  • 5ba3fc040ce45d1f5c62c16622e236be232f2cd842f15b586f8f96e6a674c3ed
  • 6282d76da1ab2a849042a59157379ef63a744e87af95eb9120f20cc18b394648
  • 646bead8e0d8573a6edabf211c5870a095bdc4b42e5bf79b19826204a4c65dc1
  • 68175dcfe2c5802d3b07dd49bfc31156347aefda0ad1dff26acf7ced7821c1d2
  • 86c0bff1d0f1162d46a92cc9beb8a456b0cdcb7cd06c7d5a7dc055254aff93ec
  • 94420536e3931f3d4efb38a5f969cd802f03df32e12df2dc603b36aa025c9482
  • 96deee783e821707ccaf2916ba3d90d6c5fc42ba10c7028bacb7cb1e0d708dd1
  • a111e841a0b8bdac6578b44d096d159b430c18f8e7a3103ae8881375e11b8496
  • a17797d07109c6920279f9d8f461b1e6f296cbab90230cb0f3f68dcbf6a18d46
  • c50f1d1491bc34944bd704e8a313b5c13ef76924650d5b01e79ea9cf0d3f8acd
  • c78401563e8d5557050f906f12a71b10d5f0a6650d012ba6c8fbe99a11f80668
  • c90997f58014de14008e6272ddd0f2b6ed026c20afdf1a697e673866b3a01cbf
  • d08108ccb9b5b9a43d121edbc06087335d1954037cd07c2c77747aa0e9685c96
  • d0a519cdbd14fc9c6ade2301b422c10219e94317b34209b04068967020e130fc
  • d278eb136196e484a4b8ee9c11a24c1f08f937746b16fc0548389bd97bb48908
  • dbcd513612ee4b455016831dd6023b379146893193be80dbb88e0b54a944c1f5
  • dfbe8f9bf0a1ceb941132388cf80b71ab6e908ecbdd12fe8cdae6c18b1d3cf6d
  • ed9dbf7829c0e8404667000b10e19ce821c3772307cbc7e409e37a76e50bd404
  • eef64847459ff8dae5651bc99df4773ed7635cc7b11288aa2bfb728deb34f1db
  • f30a108697cb56c9db898481c848e42b637ca5d491c05d9d24476cf82e495187
  • f6296973ab1f1e7ab66b2ff2e79a241471555235b4ad6f909163abcaa778f3ce
  • f832adf0a42a56bd19da55cb5a5aef7ca75f2684caca61da0540b64246c206e3
SEC-1275-1
Добавить комментарий