PikaBot Trojan IOCs - Part 17

remote access Trojan IOC

Команда Darktrace Threat Research в течение 2023 года обнаружила несколько штаммов вредоносных программ-загрузчиков, которые оказывали влияние на клиентов. Эти вредоносные программы предоставляли субъектам угроз первоначальный доступ к сети организации, способствуя дальнейшим атакам, включая заражение другим вредоносным ПО и атаки с выкупом. Популярность таких угроз подчеркивает важность защиты организаций от многоэтапных компромиссов.

PikaBot Trojan

Одним из примеров, замеченных командой Darktrace в 2023 году, был штамм вредоносного кода-загрузчика Pikabot, который использовался для первоначального доступа и часто сопровождался вторичными компромиссами, такими как Cobalt Strike и Black Basta ransomware. Благодаря своевременному обнаружению Darktrace DETECT™ и поддержке Центра управления безопасностью (SOC) Darktrace, удалось остановить компрометацию Pikabot до того, как она переросла в более разрушительную атаку.

Pikabot является новейшим штаммом модульного загрузчика, активным с начала 2023 года, и в последующие месяцы были замечены изменения в его методологии. Этот штамм имеет много общих черт с вредоносными программами Qakbot и Mantanbuchus и может использоваться для многоступенчатых атак, часто сопровождаемых загрузкой других штаммов вредоносного ПО. Заражение Pikabot часто начинается с вредоносного электронного письма и использует различные методы антианализа для обхода систем безопасности.

Darktrace Threat Research обнаружила многочисленные атаки с использованием Pikabot в период с апреля по июль 2023 года. Атаки были направлены на американские и европейские организации различных отраслей. Затем атаки следовали определенному сценарию, начиная с первоначального доступа через вредоносное письмо и заканчивая дальнейшей активностью на конечных точках Cobalt Strike. В октябре 2023 года была замечена новая кампания, которая использовала cURL для загрузки вредоносной нагрузки, указывая на изменение подхода атаки.

17 октября 2023 года Darktrace обнаружила заражение Pikabot в сети одного из клиентов в Европе. Несмотря на то, что Darktrace не имела видимости над электронной почтой клиента, с помощью DETECT команда смогла обнаружить активность Pikabot на основе использования пользовательского агента cURL и загрузки антианализируемого исполняемого файла. Этот случай подтверждает важность реагирования на заражение Pikabot, чтобы предотвратить эскалацию до серьезной компрометации, такой как атаки с выкупом.

Indicators of Compromise

IPv4

  • 103.124.105.147
  • 128.140.102.132
  • 129.153.135.83
  • 129.153.22.231
  • 154.12.233.66
  • 154.80.229.76
  • 162.252.172.253
  • 167.88.166.109
  • 178.18.246.136
  • 185.87.148.132
  • 192.121.17.14
  • 192.121.17.68
  • 192.9.135.73
  • 198.44.187.12
  • 86.38.225.106

IPv4 Port Combinations

  • 185.106.94.174:5000
  • 80.85.140.152:5938

Domains

  • building4business.net
  • wordstt182.com
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий