HackHound IRC Bot IOCs

security IOC

Webhards - это основные платформы, которые злоумышленники, нацеленные на корейских пользователей, используют для распространения вредоносного ПО. Аналитическая группа ASEC отслеживает типы вредоносных программ, распространяемых через веб-страницы, и в прошлом неоднократно публиковала о них сообщения в блогах. Как правило, злоумышленники распространяют вредоносное ПО через нелегальные программы, такие как игры для взрослых и взломанные версии игр. Те, кто использует webhards в качестве пути распространения, обычно устанавливают вредоносные программы типа RAT, такие как njRAT, UdpRAT и DDoS IRC Bot.

Как видно из случаев, описанных в постах выше, субъекты угроз периодически используют различные виды вредоносного ПО. Команда анализа ASEC недавно обнаружила распространение вредоносной программы DDoS Bot под названием "HH IRC Bot". На основании нашего поиска по строкам и функциям, используемым во вредоносной программе, можно сделать вывод, что эта вредоносная программа была распространена на хакерском форуме ниже в 2012 году. HH - это аббревиатура от HackHound и описывается как официальный IRC-бот форума Hackhound.

IRC (Internet Relay Chat) - это протокол Интернет-чата в реальном времени, разработанный в 1988 году. Пользователи получают доступ к определенным каналам определенных IRC-серверов и общаются с другими пользователями, которые зашли на тот же канал, в режиме реального времени. IRC Bot - это вредоносная программа, которая злоупотребляет этим IRC-сервисом для связи с C&C-серверами. IRC Bot, установленный на зараженной системе, получает доступ к каналу IRC-сервера, указанному агентом угрозы в соответствии с протоколом IRC, после чего передает украденную информацию на указанный канал. Другой случай использования IRC Bot: когда злоумышленник вводит определенную строку, IRC Bot получает ее как команду и выполняет соответствующее вредоносное поведение.

Вредоносные программы IRC Bot устойчиво используются, поскольку они используют уже существующие протоколы IRC и IRC-серверы, что избавляет злоумышленников от необходимости разрабатывать дополнительные C&C-серверы и протоколы. В качестве примера можно привести ботнет Simple-IRC-Botnet, разработанный с использованием GoLang.

Indicators of Compromise

Domain Port Combinations

  • minho128.kro.kr:1
  • minho128.kro.kr:443
  • minho128.kro.kr:4433
  • minho128.kro.kr:6667
  • minho128.kro.kr:7860
  • minho128.kro.kr:80

URLs

  • https://discord.com/api/webhooks/984735992755933194/zG_rKOa35RSplPSCDeMstvwHH55yLuVLJpSjVIpNIUEwElCHcEuR_jym9Z6oevDhtuG-

MD5

  • 00c4c68847196cd4c48c67fd1f8156cd
  • 035f90ca20ece063578e4df9c6f23ff4
  • 053778713819beab3df309df472787cd
  • 1098c0adc0749c09edef3ed2d3b287cb
  • 10d33eb390e6d81e805f4b38daa4db40
  • 1287b9c05c8f73fcdbe5620e5717fe75
  • 12ed54ef87ef751cecb27534edf66682
  • 17f1e7ea6fb9bed97c16cbd2746ca3ff
  • 21f40d9efa89374a8cabbe85076d0b17
  • 2d05a3c8a38fc57494bf765a4715cede
  • 33134892bc0db2246b3ae2e23f3d0102
  • 37694d53979faf4b74328736d559f831
  • 674360905cbf8a1817c6a5767e468526
  • 8fb255cf2bbc51c90478b81f2e3ce058
  • a1c8e2bebae1afbe0726060defe38601
  • c6018d13e5f72dde859ffc77f175502a
  • d092702766c11b2d021ec1d448772dd2
  • ed60830ce5bd7ba29d6f50a927a7d80b
  • ffb201e6d38beabb33adddba8dccfc5a
SEC-1275-1
Добавить комментарий