Главная страница » IOC
0
1 год
IOC

Agent Racoon Backdoor IOCs

security

Исследователи Unit 42 наблюдали за серией явно связанных между собой атак на организации на Ближнем Востоке, в Африке и США.

Атакующий использовал временные каталоги C:\Windows\Temp и C:\Temp для развертывания определенных компонентов своего набора инструментов в различных пострадавших организациях. Они использовали следующие похожие имена файлов для пакетных сценариев и сценариев PowerShell:

c:\windows\temp\crs.ps1
c:\windows\temp\ebat.bat
c:\windows\temp\install.bat
c:\windows\temp\mslb.ps1
c:\windows\temp\pb.ps1
c:\windows\temp\pb1.ps1
c:\windows\temp\pscan.ps1
c:\windows\temp\set_time.bat
c:\windows\temp\usr.ps1

В то время как злоумышленники обычно использовали Ntospy во всех пострадавших организациях, инструмент Mimilite и вредоносная программа Agent Racoon были обнаружены только в среде некоммерческих и правительственных организаций.

После каждого сеанса атаки атакующий использовал файл cleanmgr.exe для очистки среды, использовавшейся во время сеанса.

Семейство вредоносных программ Agent Racoon создано для создания бэкдоров. Оно написано с использованием фреймворка .NET и использует DNS для создания скрытого канала связи с сервером C2.

При выполнении угроза имеет некоторые предопределенные настройки, такие как:

  • Базовый домен, используемый для создания скрытого канала DNS
  • Уникальный ключ для каждого образца, используемый в качестве начального для генерации пароля шифрования для шифрования DNS-коммуникаций
  • резервный DNS-сервер, если ни один DNS-сервер не может быть считан со взломанной системы.

Indicators of Compromise

Domains

  • dlbh.telemetry.geostatcdn.com
  • fdsb.telemetry.geostatcdn.com
  • g1sw.telemetry.geoinfocdn.com
  • geoinfocdn.com
  • geostatcdn.com
  • hfhs.telemetry.geostatcdn.com
  • lc3w.telemetry.geostatcdn.com
  • telemetry.geoinfocdn.com
  • telemetry.geostatcdn.com

MD5

  • b855dfde7f778f99a3724802715a0baa

SHA256

  • 086a6618705223a8873448465717e288cf7cc6a3af4d9bf18ddd44df6f400488
  • 1a4301019bdf42e7b2df801e04066a738d184deb22afcad9542127b0a31d5cfa
  • 2632bcd0715a7223bda1779e107087964037039e1576d2175acaf61d3759360f
  • 354048e6006ec9625e3e5e3056790afe018e70da916c2c1a9cb4499f83888a47
  • 3a2d0e5e4bfd6db9c45f094a638d1f1b9d07110b9f6eb8874b75d968401ad69c
  • 4351911f266eea8e62da380151a54d5c3fbbc7b08502f28d3224f689f55bffba
  • 58e87c0d9c9b190d1e6e44eae64e9a66de93d8de6cbd005e2562798462d05b45
  • 7eb901a6dbf41bcb2e0cdcbb67c53ab722604d6c985317cb2b479f4c4de7cf90
  • ae989e25a50a6faa3c5c487083cdb250dde5f0ecc0c57b554ab77761bdaed996
  • baed169ce874f6fe721e0d32128484b3048e9bf58b2c75db88d1a8b7d6bb938d
  • bcd2bdea2bfecd09e258b8777e3825c4a1d98af220e7b045ee7b6c30bf19d6df
  • dee7321085737da53646b1f2d58838ece97c81e3f2319a29f7629d62395dbfd1
  • e0748ce315037253f278f7f8f2820c7dd8827a93b6d22d37dafc287c934083c4
  • e30f8596f1beda8254cbe1ac7a75839f5fe6c332f45ebabff88aadbce3938a19
  • e7682a61b6c5b0487593f880a09d6123f18f8c6da9c13ed43b43866960b7aa8e
  • f45ea12579f636026d29009190221864f432dbc3e26e73d8f3ab7835fa595b86
Комментарии: 0
Похожие записи
0
15 дней
IOC

Latrodectus Backdoor IOCs - Part 15

security
Unidentified 111 (он же: Latrodectus, BLACKWIDOW, Latrodectus, Lotus) - впервые обнаруженный в октябре 2023 года BLACKWIDOW представляет собой бэкдор, написанный на языке C, который взаимодействует по
0
1 месяц
IOC

Необычные вредоносные программы последнего времени

security
В последнее время эксперты компании Palo Alto Networks обнаружили несколько новых образцов вредоносного программного обеспечения (ВПО), обладающих уникальными характеристиками, что затрудняет их атрибуцию и определение функциональности.