LockBit 3.0/Amadey Bot IOCs

security IOC

Аналитическая группа ASEC подтвердила, что злоумышленники используют Amadey Bot для установки LockBit. Amadey Bot - вредоносное ПО, впервые обнаруженное в 2018 году, способно похищать информацию и устанавливать дополнительные вредоносные программы, получая команды от злоумышленника. Как и другие штаммы вредоносного ПО, он продается на нелегальных форумах и до сих пор используется различными злоумышленниками.

В прошлом он использовался для установки ransomware злоумышленниками GandCrab или для установки FlawedAmmyy группой TA505, печально известной по Clop ransomware. Недавно он распространялся под видом популярного корейского приложения для обмена сообщениями.

Amadey Bot, вредоносная программа, которая используется для установки LockBit, распространяется двумя способами: один - с помощью вредоносного файла документа Word, а другой - с помощью исполняемого файла, который маскируется под иконку файла Word.

Indicators of Compromise

URLs

  • http://188.34.187.110/1234.exe:
  • http://188.34.187.110/cc.ps1
  • http://188.34.187.110/dd.ps1
  • http://188.34.187.110/LBB.exe
  • http://188.34.187.110/v5sqpe.dotm:
  • http://62.204.41.25/3g4mn5s/index.php
  • http://62.204.41.25/3g4mn5s/Plugins/cred.dll

MD5

  • 1690f558aa93267b8bcd14c1d5b9ce34
  • 56c9c8f181803ece490087ebe053ef72
  • 5e54923e6dc9508ae25fb6148d5b2e55
  • ad444dcdadfe5ba7901ec58be714cf57
  • ae59e82ddd8d9840b79bfddbe4034462
  • bf331800dbb46bb32a8ac89e4543cafa
  • bf4d4f36c34461c6605b42c456fa4492
  • f9ab1c6ad6e788686509d5abedfd1001
SEC-1275-1
Добавить комментарий