CISA получила для анализа 32-битный исполняемый файл Windows, вредоносную библиотеку динамических связей (DLL) и зашифрованный файл из организации, где кибер-актеры использовали уязвимости в Zimbra Collaboration Suite (ZCS). наши CVE в настоящее время используются против ZCS: CVE-2022-24682, CVE-2022-27924, CVE-2022-27925 в связке с CVE-2022-37042 и CVE-2022-30333.
Исполняемый файл предназначен для побочной загрузки вредоносного DLL-файла. DLL предназначена для загрузки и расшифровки зашифрованного файла методом исключающего ИЛИ (XOR). Расшифрованный файл содержит двоичный файл Cobalt Strike Beacon. Cobalt Strike Beacon - это вредоносный имплант на взломанной системе, который обращается к серверу управления и контроля (C2) и проверяет наличие дополнительных команд для выполнения на взломанной системе.
Cobalt Strike Beacon
- Cobalt-Strike Beacon IOCs
- Cobalt Strike Beacon IOCs
- Cobalt Strike Beacon IOCs - Part 3
- Cobalt Strike Beacon IOCs - Part 4
Indicators of Compromise
IPv4
- 207.148.76.235
IPv4 Port Combinations
- 207.148.76.235:443
MD5
- 058434852bb8e877069d27f452442167
- 4109ac08bdc8591c7b46348eb1bca85d
- be2b0c387642fe7e8475f5f5f0c6b90a
- ff1d9474c2bfa9ada8d5ed3e16f0b04a
SHA1
- 026d81090c857d894aaa18225ec4a99e419da651
- 60299a59f05b10f49f781dc073249bcb7ec27b63
- 6423d1c324522bfd2b65108b554847ac4ab02479
- f9c316719ce036d7f6b3d8ea6d199b07c659bfc6
SHA256
- 233bb85dbeba69231533408501697695a66b7790e751925231d64bddf80bbf91
- 25da610be6acecfd71bbe3a4e88c09f31ad07bdd252eb30feeef9debd9667c51
- 3450d5a3c51711ae4a2bdb64a896d312ba638560aa00adb2fc1ebc34bee9369e
- df847abbfac55fb23715cde02ab52cbe59f14076f9e4bd15edbe28dcecb2a348