Black Basta Ransomware IOCs - Part 6

ransomware IOC
Опубликовано

Распространение вредоносного ПО QAKBOT возобновилось 8 сентября 2022 года после короткого перерыва, когда наши исследователи заметили несколько механизмов распространения в этот день. Среди наблюдаемых методов распространения были SmokeLoader (использующий идентификатор распространителя 'snow0x'), Emotet (использующий идентификатор распространителя 'azd'), а также вредоносный спам, использующий идентификаторы 'BB' и 'Obama20x'.

Недавний случай с распространителем QAKBOT 'BB' привел к развертыванию Brute Ratel (обнаруженного Trend Micro как Backdoor.Win64.BRUTEL) - фреймворка, аналогичного Cobalt Strike, - в качестве полезной нагрузки второго этапа. Это примечательное событие, поскольку мы впервые наблюдаем Brute Ratel в качестве полезной нагрузки второго этапа при заражении QAKBOT. Атака также включала использование самого Cobalt Strike для бокового перемещения. Мы приписываем эти действия угрожающим субъектам, стоящим за вымогательским ПО Black Basta.

Black Basta Ransomware IOCs

Indicators of Compromise

IPv4

  • 105.108.255.165
  • 149.126.159.254
  • 154.183.135.35
  • 160.179.220.87
  • 186.125.93.28
  • 189.79.27.174
  • 197.204.126.136
  • 23.225.104.250
  • 41.105.54.8
  • 41.108.175.56
  • 41.96.18.5
  • 45.153.241.64
  • 45.153.241.88
  • 45.153.242.250
  • 45.153.242.251
  • 78.162.213.155
  • 94.52.127.44

IPv4 Port Combinations

  • 100.1.5.250:995
  • 110.4.255.247:443
  • 111.125.157.230:443
  • 115.247.12.66:443
  • 119.82.111.158:443
  • 123.23.64.230:443
  • 134.35.10.30:443
  • 139.228.33.176:2222
  • 144.202.15.58:443
  • 144.202.15.58:995
  • 149.28.38.16:443
  • 149.28.38.16:995
  • 149.28.63.197:443
  • 149.28.63.197:995
  • 173.218.180.91:443
  • 177.255.14.99:995
  • 180.180.132.100:443
  • 186.64.67.34:443
  • 187.205.222.100:443
  • 189.19.189.222:32101
  • 190.44.40.48:995
  • 191.97.234.238:995
  • 193.3.19.37:443
  • 196.64.230.149:8443
  • 196.64.237.130:443
  • 197.204.227.155:443
  • 197.94.84.128:443
  • 217.165.97.141:993
  • 39.121.226.109:443
  • 41.111.72.234:995
  • 41.96.130.46:80
  • 41.98.11.74:443
  • 45.63.10.144:443
  • 45.63.10.144:995
  • 45.77.159.252:443
  • 45.77.159.252:995
  • 66.181.164.43:443
  • 68.224.229.42:443
  • 70.49.33.200:2222
  • 70.51.132.197:2222
  • 72.88.245.71:443
  • 86.132.13.105:2078
  • 86.176.180.223:993
  • 88.232.207.24:443
  • 88.237.6.72:53
  • 88.245.168.200:2222
  • 89.211.217.38:995
  • 96.234.66.76:995
  • 99.232.140.205:2222

Domains

  • edmor-p.com
  • growin.ro
  • halasaloon.com
  • near-org.top
  • sentisupport.com
  • symantecuptimehost.com
  • teenieshopus.com

URLs

  • https://davalibapa.com
  • https://fewifasoc.com
  • https://hadujaza.com
  • https://himiketiv.com

SHA256

  • 01af5478e290bfcd23eeb39ff3af8802ab11a410038cae957ccb56de45d90ac0
  • 01fd6e0c8393a5f4112ea19a26bedffb31d6a01f4d3fe5721ca20f479766208f
  • 06c4c4d100e9a7c79e2ee8c4ffa1f7ad165a014f5f14f90ddfc730527c564e35
  • 16738ffeb00a849af4f24b6faee00d9d8e2b0247621d01718895dac5cc99fd8a
  • 1751c378e2b14bd6238c3189e13501d191c117fdfe65e4e0ea1cb5829cce2bb9
  • 2d1e93d28bf349a412bda7668536c4dc197cb12e020a5355f2d305ecac3ba458
  • 31103788fae9b988d9d4362b848249b49ea60e15fc5982f26b13447064a13325
  • 48976d7bf38cca4e952507e9ab27e3874ca01092eed53d0fde89c5966e9533bb
  • 54e844b5ae4a056ca8df4ca7299249c4910374d64261c83ac55e5fdf1b59f01d
  • 5510ff3cb4b8b344b0ee70b80266d3b497afd9ec423183917983e8bb36ff7c25
  • 582a5e2b2652284ebb486bf6a367aaa6bb817c856f08ef54db64c6994c5b91bd
  • 62cb24967c6ce18d35d2a23ebed4217889d796cf7799d9075c1aa7752b8d3967
  • 64a95de2783a97160bac6914ee07a42cdd154a0e33abc3b1b62c7bafdce24c0c
  • 66ff672282b02f4796e006f2cfef125cccfd542b65eb3fbc728badf09cb94202
  • 6f9e9137a014b29f47722dbbb7a290eff11a9da3226af01bb2ecb78116dcb607
  • 726bce40d17b3f9b245af6b78251469b89cde4d3428187f5c11ed4c3f5b58ed4
  • 74da9610cb92a5a6fc15c856d3af73ff2b069f23d5a9712e48b6fd40b52fc744
  • 94392d757ba3526c3dcd5c3ddcb3f005c6330ef075dc246d08a8b79e017c0c01
  • 9efbc691d53ea9aa1eef245da23e197310bf266b0223ae1af8035bf854782edd
  • a0a0f07ffbede4772ef04ce7c7e98b77ad0d5e2b2f391d8d26dcc96c289469c4
  • a0adcd303fdff7747ab93df07b0722eab9890ba9deab7d322f077d6774ef6bc0
  • a7d6cd8209eea40a9bcf32e923b7723d8724895f5d1084605a64651c3a811b03
  • ab88d558ff0ae35860f6ba1ceab6ec3302ace9dc7e957940c053f85b4dc17e78
  • c545541fecd97b2c46ab0c6db25a2f87b48ffadbd2c75ad65c7ce2781a8de491
  • ce01002614eb7029131a73769db721ac68ef47989d7a8022980d3ae22c82b6f7
  • d44b05b248f95986211ab3dc2765f1d76683594a174984c8b801bd7eade8aa47
  • e69c96fc8c81c12b9101fcb67e6811b3c46b9c79de7087ac34aa1f95be9c7c1a
  • e9e214f7338c6baefd2a76ee66f5fadb0b504718ea3cebc65da7a43a5ff819a4
  • f2fe89d8de9dc29ddca56918beb652df1b3d44218bf5e084c4d0de7325ec54f5
  • f32b4407f51f1407bf4261c49ad940712b0e3777a5f7365ba6b485a163361d3b
  • f56d25cf9f20f2040b2ec14f769f36aa14819f56f6b254c0831c9b2a024b8c8d

 

Похожие записи:
  1. BlackBasta Ransomware IOCs - Part 4
  2. HavanaCrypt Ransomware IOCs
  3. SolidBit Ransomware IOCs
  4. Black Basta Ransomware IOCs - Part 4
  5. Black Basta Ransomware / FIN7 IOCs
Black Basta BlackBasta Ransomware TrendMicro
Добавить комментарий