Главная страница » IOC
0
7 месяцев
IOC

BlackSuit Ransomware IOCs - II

ransomware

Исследователи из DFIR Report обнаружили вторжение, которое началось с выполнения маяка Cobalt Strike и привело к развертыванию вымогательского ПО BlackSuit в декабре 2023 года.

BlackSuit Ransomware

Злоумышленник использовал различные инструменты, такие как Sharphound, Rubeus, SystemBC, Get-DataInfo.ps1 и ADFind, а также встроенные системные инструменты. Командный и управляющий трафик передавался через CloudFlare, чтобы скрыть сервер Cobalt Strike. Деятельность злоумышленников включала повышение привилегий, уклонение от защиты, доступ к учетным данным, обнаружение и боковое перемещение. Они также использовали вход в систему по протоколу удаленного рабочего стола (RDP), меняли командные и управляющие домены Cobalt Strike и несколько раз пытались запустить ADFind, после чего успешно развернули программу-вымогатель BlackSuit. Кульминацией вторжения стал доступ злоумышленника к консолям администрирования DNS и групповой политики, после чего он развернул вымогательское ПО по всей среде. Методы латерального перемещения включали использование ресурсов SMB ADMIN$, RDP и скрытых ресурсов SMB для распространения ransomware. Злоумышленник в основном перемещался с контроллера домена и использовал Cobalt Strike для распространения маяков и выполнения различных действий по латеральному перемещению. Злоумышленник стратегически распространял вымогательское ПО BlackSuit на ключевых конечных точках инфраструктуры с целью получения финансовой выгоды за счет выкупа, используя RDP для входа в различные системы и выполнения вымогательского ПО для обеспечения использования правильных аргументов командной строки.

Indicators of Compromise

IPv4

  • 137.220.61.94
  • 147.78.47.178
  • 15.197.130.221

Domains

  • as.regsvcast.com
  • qw.regsvcast.com
  • svchorst.com
  • zx.regsvcast.com

MD5

  • 0bb61c0cff022e73b7c29dd6f1ccf0e2
  • 3900ebc7766f3894fb1eb300460376ad
  • 3bf1142b3294c23852852053135ec0df
  • 519dc779533b4ff0fc67727fecadba82
  • 76a2363d509cc7174c4abee9a7d7ae68
  • 820cfde780306e759bb434da509f7a91
  • 9b02dd2a1a15e94922be3f85129083ac
  • b54240c98ca23202e58a1580135ad14c
  • ed44877077716103973cbbebd531f38e

SHA1

  • 286588a50b9b128d07aa0f8851f2d7ee91dfa372
  • 2bb6c8b6461edc49e22f3d0c7dc45904b2ed8a2b
  • 2cb6ff75b38a3f24f3b60a2742b6f4d6027f0f2a
  • 4e38b98965a4d4756e6f4a8259df62cbca7de559
  • 586ea19ea4776300962e20cfc9e7017a50888ecb
  • 8dde03600a18a819b080a41effc24f42fa960a3e
  • a3b617eb4248aba34c28c48886116ac97e55e932
  • cd55256904f1964b90b51089b46f1a933fec3e8e
  • ceb8c699a57193aa3be2a1766b03050cde3c738a
  • e63732fb38d2e823348529a264b4c4718e0c0b4a

SHA256

  • 27e300fa67828d8ffd72d0325c6957ff54d2dc6a060bbf6fc7aa5965513468e0
  • 3b873bc8c7ee12fe879ab175d439b5968c8803fbb92e414de39176e2371896b2
  • 55cde638e9bcc335c79c605a564419819abf5d569c128b95b005b2f48ccc43c1
  • 60dcbfb30802e7f4c37c9cdfc04ddb411060918d19e5b309a5be6b4a73c8b18a
  • 6c884e4a9962441155af0ac8e7eea4ac84b1a8e71faee0beafc4dd95c4e4753f
  • 9493b512d7d15510ebee5b300c55b67f9f2ff1dda64bddc99ba8ba5024113300
  • a39dc30bd672b66dc400f4633dfa4bdd289b5e79909c2e25e9c08b44d99b8953
  • b1102ed4bca6dae6f2f498ade2f73f76af527fa803f0e0b46e100d4cf5150682
  • e92912153cf82e70d52203a1a5c996e68b7753818c831ac7415aedbe6f3f007d
  • f474241a5d082500be84a62f013bc2ac5cde7f18b50bf9bb127e52bf282fffbf
Комментарии: 0
Похожие записи
0
7 дней
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
0
9 дней
IOC

EDRKillShifter от RansomHub

security
Исследователи ESET отметили существенные изменения в экосистеме вымогательского ПО в 2024 году, особенно в отношении банды RansomHub, которая стала одной из ведущих на данный момент.