Главная страница » IOC
0
4 месяца
IOC

Water Barghest APT IOCs

security

Компания Trend Micro выпустила отчет, в котором подробно описывается деятельность Water Barghest - киберпреступной группы, создающей высокоавтоматизированные бот-сети, использующие уязвимости в устройствах Интернета вещей (IoT) для использования их в качестве прокси-серверов для жилых домов.

Water Barghest APT

Действуя уже более пяти лет, группа использует такие инструменты, как публичные базы данных сканирования Интернета (например, Shodan), для выявления уязвимых устройств и развертывания Ngioweb, который работает в памяти, чтобы избежать сохранения. Зараженные устройства быстро регистрируются на командно-контрольных (C2) серверах и становятся доступными на рынке бытовых прокси-серверов, часто в течение 10 минут после компрометации.

Инфраструктура ботнета удивительно эффективна, она автоматизирует каждый этап работы - от выявления и эксплуатации IoT-уязвимостей до монетизации устройств. Хотя группа в основном использует известные уязвимости, она также эксплуатирует «нулевые дни», такие как дефект Cisco IOS XE в 2023 году, который привлек значительное внимание индустрии. Опора на криптовалюту и тщательная операционная безопасность помогали им избегать обнаружения в течение многих лет.

С 2018 года деятельность Water Barghest претерпела изменения: первоначально ее целью были машины под управлением Windows, а в 2020 году она переключилась на IoT-устройства. Сейчас они используют широкий спектр устройств, в том числе от Cisco, Netgear и Synology, и продолжают обновлять Ngioweb, чтобы расширить его возможности. Инфраструктура ботнета опирается на виртуальные частные серверы (VPS) для постоянного сканирования и компрометации устройств. Их домашняя прокси-сеть связана с коммерческим рынком, где пользователи могут арендовать прокси с обратным подключением для обеспечения анонимности.

Деятельность этой группы свидетельствует о растущей проблеме кибербезопасности, поскольку спрос на услуги анонимизации способствует распространению ботнетов. Эффективные меры безопасности IoT и ограничение доступа IoT-устройств в открытый интернет являются критически важными для снижения таких угроз.

Indicators of Compromise

IPv4

  • 104.234.240.65
  • 107.175.229.142
  • 108.181.132.115
  • 108.181.132.116
  • 108.181.132.117
  • 108.181.132.118
  • 108.181.133.58
  • 108.181.133.59
  • 138.201.21.218
  • 138.201.21.227
  • 138.201.21.228
  • 138.201.21.232
  • 138.201.21.233
  • 138.201.21.238
  • 141.94.238.246
  • 144.172.111.24
  • 144.172.76.24
  • 144.76.167.18
  • 144.76.167.23
  • 144.76.167.25
  • 144.76.167.26
  • 144.76.167.34
  • 144.76.167.37
  • 154.7.253.113
  • 162.0.220.161
  • 162.0.220.214
  • 162.0.220.215
  • 162.0.220.216
  • 162.0.220.217
  • 162.0.220.218
  • 162.0.220.219
  • 162.0.220.220
  • 162.19.7.46
  • 162.19.7.47
  • 162.19.7.48
  • 162.19.7.49
  • 162.19.7.50
  • 162.19.7.53
  • 162.19.7.56
  • 162.19.7.57
  • 162.19.7.58
  • 162.19.7.59
  • 162.19.7.60
  • 162.19.7.61
  • 162.210.192.135
  • 162.210.192.136
  • 162.210.192.171
  • 162.210.197.69
  • 162.210.197.91
  • 167.88.166.112
  • 167.88.168.2
  • 172.86.96.114
  • 173.211.70.205
  • 174.138.176.74
  • 174.138.176.76
  • 174.138.176.77
  • 174.138.176.78
  • 185.45.195.140
  • 195.154.43.182
  • 195.154.43.184
  • 195.154.43.189
  • 195.154.43.198
  • 195.154.43.221
  • 195.154.43.86
  • 198.7.56.71
  • 198.7.56.72
  • 198.7.56.73
  • 198.7.56.74
  • 198.7.61.67
  • 198.7.61.72
  • 207.189.164.106
  • 209.159.153.19
  • 209.159.153.20
  • 209.159.153.21
  • 209.159.153.22
  • 212.83.137.142
  • 212.83.137.150
  • 212.83.137.165
  • 212.83.137.239
  • 212.83.137.30
  • 212.83.137.94
  • 212.83.138.132
  • 212.83.138.172
  • 212.83.138.186
  • 212.83.138.192
  • 212.83.138.245
  • 212.83.138.60
  • 212.83.142.100
  • 212.83.142.114
  • 212.83.142.131
  • 212.83.142.145
  • 212.83.142.149
  • 212.83.142.158
  • 212.83.143.103
  • 212.83.143.118
  • 212.83.143.147
  • 212.83.143.151
  • 212.83.143.159
  • 212.83.143.191
  • 212.83.143.204
  • 212.83.143.211
  • 212.83.143.223
  • 212.83.143.60
  • 212.83.143.97
  • 216.107.139.52
  • 23.105.170.30
  • 23.105.170.32
  • 23.105.170.33
  • 23.105.170.34
  • 23.105.170.35
  • 37.59.213.49
  • 38.91.106.214
  • 38.91.106.252
  • 38.91.107.2
  • 38.91.107.220
  • 38.91.107.224
  • 38.91.107.229
  • 45.61.141.192
  • 46.105.44.29
  • 51.254.149.59
  • 51.254.167.45
  • 51.68.244.19
  • 51.83.116.2
  • 51.83.116.3
  • 51.83.116.5
  • 51.83.116.6
  • 51.83.116.7
  • 66.23.233.210
  • 66.29.128.241
  • 66.29.128.242
  • 66.29.128.243
  • 66.29.128.244
  • 66.29.128.245
  • 66.29.128.246
  • 66.29.129.52
  • 66.29.129.53
  • 66.29.129.54
  • 66.29.129.56
  • 67.213.210.115
  • 67.213.210.118
  • 67.213.210.167
  • 67.213.210.168
  • 67.213.210.175
  • 67.213.210.60
  • 67.213.210.61
  • 67.213.210.62
  • 67.213.212.36
  • 67.213.212.38
  • 67.213.212.39
  • 67.213.212.40
  • 67.213.212.47
  • 67.213.212.48
  • 67.213.212.49
  • 67.213.212.50
  • 67.213.212.51
  • 67.213.212.52
  • 67.213.212.53
  • 67.213.212.54
  • 67.213.212.55
  • 67.213.212.56
  • 67.213.212.57
  • 67.213.212.58
  • 67.220.85.145
  • 77.83.199.142
  • 79.141.162.154
  • 95.169.180.227

Domains

  • antigutation.info
  • antihicipate.com
  • asdns.pp.ua
  • asdns2.pp.ua
  • disimunous.com
  • dnslookip.com
  • emelenalike.com
  • enidecikive.net
  • exagenafy.com
  • inoluvary.com
  • interocakate.com
  • ipinfocheck.com
  • ipscoredns.com
  • ipwebinfo.net
  • macrofocafify.org
  • minixetepate.biz
  • misukumotist.info
  • monobimefist.com
  • nslookups.com
  • prekudinish.com
  • prenurevaty.info
  • promexucate.com
  • recepatission.info
  • remalexation.name
  • semiridinution-postepudency.com
  • subonuker.name
  • ultradomafy.net
  • underuvukent.com
  • whosedns.pp.ua

SHA256

  • 05cd00f975bd2522d943e836ef5a1cb00806c6d684987274da850be348b2b1f4
  • 129693d8c474a8de8f91e1d16e0129732aba20bea9ac24e7c68b345b7b05ad6f
  • 1748978997d9630c568f6c06ff0767ed8b0cfbf5c93612daf600adefecfba2e1
  • 1fe1cece08fef19448a32a746f5c8f77521db757c2b345103834a5f617101f15
  • 2bf2c10332f1d31e1b87e62ca2d7afc70f073c55474d7f03ff6c37caec28df4a
  • 2e940e3bd88226cfbbfb7a2eefbdd675173fd2950847a9131e11c1682353e286
  • 35f95fbb1b439a89cbd6e825188fb64fde44aef9829d549b4f547850552e095c
  • 4af537b29c54f976801ee7688c4db78d4b4e7b9947769226afc108e4645cf20f
  • 4e8a36f467f1dab1b4768f67efd3712562699603839e38d93525c90989a4cf26
  • 5353228926aa96b546b33de4418f15e347441d16d292f4946beca6a0d314e635
  • 56657300f250fa9df77d6bc393bfc01d585d00bfb5302bf34314368fb13cbe26
  • 5d89b09dfb7c09a3a42345a136293b469a71ef7a1f599102ad67c09dc4fc53bf
  • 600c56a175f3661f434d1fe3418fb4cca96cdf6f880bd74a389e0d16d85ca501
  • 6a3288b1d326290778544769ea7c1ed80af763ea47fee5131afef209a0e2d301
  • 710e0317de732f1bce32ed96d33468cb2b55e513106393b11bf7800081f1e681
  • 743f7c495048d8983bbedc3d52ea00c914fe008b06ef01c1be2a78cd5c1375f3
  • 74f4d77bf367063bccece2fb3796e6bd7a1f51528f58ed3f1450b7de6c29b5f4
  • 78a1b5bea50034e7a03e6ed5c0f4f80f1fbc770555891a73790e1b59a2fba608
  • 7bddb716c233211fa7332586e7d3e859814ec508108fa1024c4fb99aab843cdf
  • 83cf89428e07a1a10b22958dca25f50a8a151bccfa01ee9bcce870303a4f9861
  • 869965781d96a06741c2a28c54bb8e3233bc10fcb92455e6cb9ab0c9fc2c54d4
  • 892eb161254733cf5923313544e923fface375c27b3dcf8f66e79da84c93cf65
  • 97cadc2eba1eaa7a4115ea7cc82a6955bc69d8e2913b0b46f493f9cc84ec07de
  • 9cb6c49173e4cb5a0b3c2f6d69a5bdc0bc67138329f00afaf38d678f2c0e00a6
  • 9f1fcfb2fcc66f4e534d3348b8d01eef0be1b153bc022ae7601ed3a0817aae88
  • 9fb33a16762dce934e7a48946e396ad672ab16d42a060021238f2ddf6a9f0514
  • 9fda16ad1d32f34c221d0e074a4ef13217eded63b5ff507452c4e2bbb57df3a4
  • 9fead901a3012825841cb6091f52e0a914944fbb1460c3ddb9d07213fbb7e30e
  • a3317844f3d6b5b2440be896b84fd6aa4ee77a0f9b656b784b235e077b69715d
  • a79ff2cd7f47b11d9176c40f0e82ba9b378c463ff9dd6e3e907df9480c7a1547
  • a8497257d78ea15088e0b9c68319a2c0ae8c651ed36780e9424effe97f440c0c
  • a8f7eaf999eb6cc8461f785fad13da30315da80b534cae047c5811bbea3351e3
  • b8385ce60ca6c69b7ea67fa93c7d5908809658e7d8a4fb9e003890b820979f53
  • b9360f1434ce7ff45b3ca49ff7269293188a339747b03bcd395b71b1d179700f
  • be285b77211d1a33b7ae1665623a9526f58219e20a685b6548bc2d8e857b6b44
  • bfab45d715e0e090ea18849661ed3ed58bdd7310c54c4a14a607eee4cc742e33
  • c267e0bf3f1a0448e66427d5863d762af7cd6cc7ff812e6addcd4e54d9a46ac9
  • e0cdaaba90f061d31cfe0211fe207cb3971970a141d9d72f95c8a55c8d565cb1
  • e2423e93b84284890a27e3796491049a22f6496b3830e20e808dff1c77560e3d
  • e3344c598a984dc5dc8dc1d971da8dd9b7058c48288dc5ad063548fff61543a1
  • eddd909b49f2fef023a7b6188b2ae70bbf1e25e85f5e4c84c19cc25641f17175
  • f6d70464165e00de26127464a84919f20521aa4efbecfae41e75688f74436489
  • f95342caa61e77174fe7653eea60909b9db0102c27a0641e25cdc053689110ab
Комментарии: 0
Похожие записи
0
7 часов
IOC

APT37 - RokRat

security
APT37, также известная как ScarCruft, Reaper и Red Eyes - северокорейская хакерская группировка, спонсируемая государством и действующая с 2012 года. Изначально ее деятельность была сосредоточена на правительственном
0
7 часов
IOC

Squid Werewolf APT IOCs

security
В ходе недавней кибератаки злоумышленники использовали фишинговую электронную почту, чтобы атаковать ключевых сотрудников одной из промышленных организаций. Обнаруженная в декабре 2024 года экспертами BI.
0
7 часов
IOC

Поддельные репозитории GitHub, созданные с помощью искусственного интеллекта, способствуют распространению SmartLoader и LummaStealer

security
Киберпреступники используют поддельные репозитории GitHub для распространения вредоносных программ. Эти репозитории представляют собой легитимные инструменты, такие как игровые читы, взломанное программное
0
1 день
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.