Cobalt Strike Beacon IOCs - Part 5

security IOC

CISA получила для анализа 32-битный исполняемый файл Windows, вредоносную библиотеку динамических связей (DLL) и зашифрованный файл из организации, где кибер-актеры использовали уязвимости в Zimbra Collaboration Suite (ZCS). наши CVE в настоящее время используются против ZCS: CVE-2022-24682, CVE-2022-27924, CVE-2022-27925 в связке с CVE-2022-37042 и CVE-2022-30333.

Исполняемый файл предназначен для побочной загрузки вредоносного DLL-файла. DLL предназначена для загрузки и расшифровки зашифрованного файла методом исключающего ИЛИ (XOR). Расшифрованный файл содержит двоичный файл Cobalt Strike Beacon. Cobalt Strike Beacon - это вредоносный имплант на взломанной системе, который обращается к серверу управления и контроля (C2) и проверяет наличие дополнительных команд для выполнения на взломанной системе.

Cobalt Strike Beacon

Indicators of Compromise

IPv4

  • 207.148.76.235

IPv4 Port Combinations

  • 207.148.76.235:443

MD5

  • 058434852bb8e877069d27f452442167
  • 4109ac08bdc8591c7b46348eb1bca85d
  • be2b0c387642fe7e8475f5f5f0c6b90a
  • ff1d9474c2bfa9ada8d5ed3e16f0b04a

SHA1

  • 026d81090c857d894aaa18225ec4a99e419da651
  • 60299a59f05b10f49f781dc073249bcb7ec27b63
  • 6423d1c324522bfd2b65108b554847ac4ab02479
  • f9c316719ce036d7f6b3d8ea6d199b07c659bfc6

SHA256

  • 233bb85dbeba69231533408501697695a66b7790e751925231d64bddf80bbf91
  • 25da610be6acecfd71bbe3a4e88c09f31ad07bdd252eb30feeef9debd9667c51
  • 3450d5a3c51711ae4a2bdb64a896d312ba638560aa00adb2fc1ebc34bee9369e
  • df847abbfac55fb23715cde02ab52cbe59f14076f9e4bd15edbe28dcecb2a348
SEC-1275-1
Добавить комментарий