Trickbot Botnet IOCs - Part 3

botnet IOC

В прошлом месяце специалисты лаборатории Trustwave SpiderLabs заметили, что вложения файлов HTML (Hypertext Markup Language) стали часто встречаться в наших спам-ловушках, что не является необычным, поскольку вредоносные программы часто доставляются через фишинговый спам. За последние 30 дней SpiderLabs обнаружил, что комбинация файлов .HTML (11,39%) и .HTM (2,7%) является вторым наиболее часто спамируемым вложением, составляя 14,09%, за ним следуют файлы .EXE - 12,84%.


По данным Microsoft, киберпреступные группы DEV-0238 и DEV-0253 также рассылают HTML-вложения, использующие контрабанду HTML для доставки кейлоггеров. Microsoft также приписывает HTML киберпреступной группе DEV-0193, использующей HTML для доставки вредоносного ПО Trickbot.

Trickbot Botnet IOCs

Indicators of Compromise

URLs

  • https://ajax.googleapis.com/ajax/libs/jquery/3.2.1/jquery.min.js
  • https://cdnjs.cloudflare.com/ajax/libs/mobile-detect/1.3.6/mobile-detect.min.js
  • https://cdnjs.cloudflare.com/ajax/libs/vee-validate/2.0.0-rc.3/vee-validate.min.js
  • https://cdnjs.cloudflare.com/ajax/libs/vue-i18n/7.0.3/vue-i18n.min.js
  • https://cdnjs.cloudflare.com/ajax/libs/vuex/2.3.1/vuex.min.js
  • https://fatnaoacnsoxzssa.web.app/nyrsjhrgsdvxzzx/themes/435d220bee10a57b635805e70b50fd90nbr1657558944.js
  • https://fatnaoacnsoxzssa.web.app/nyrsjhrgsdvxzzx/themes/708d225d43415316016978101b90d070.js
  • https://fatnaoacnsoxzssa.web.app/nyrsjhrgsdvxzzx/themes/css/2a4e8eea72f5947287e793a9b9355d9fnbr1657558944.css
  • https://fatnaoacnsoxzssa.web.app/nyrsjhrgsdvxzzx/themes/css/435d220bee10a57b635805e70b50fd90nbr1657558944.css
  • https://unpkg.com/axios@0.16.1/dist/axios.min.js
  • https://unpkg.com/lodash@4.17.4/lodash.min.js
  • https://unpkg.com/vue@2.6.11/dist/vue.min.js
  • https://unpkg.com/vue-router@2.7.0/dist/vue-router.min.js
  • https://valdia.quatiappcn.pw

SHA256

  • 1cbc3422305b203bba574a0d59263e377c61a198f229430131570045c59a3521
  • 8ac0f6c2c31934801c4c6ae5606997b5c84a59290287059ec8ea68754921899a
  • Cecfabcc1b8f0467a0f646d0a75bd3a94e71c1a2ca41380b75f3a60e7827d2b9
  • e1c7c9ba81d2c8bd09b1cdc25ccb44e6763f8906486c5298c40efcb2133ad017
SEC-1275-1
Добавить комментарий