Главная страница » IOC
0
2 года
IOC

CL0P Ransomware IOCs - Part 2

ransomware

Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и защите инфраструктуры (CISA) выпускают этот совместный CSA, чтобы распространить известные МОК и ТТП вымогательского ПО CL0P, выявленные в ходе расследований ФБР в июне 2023 года.


Согласно информации из открытых источников, начиная с 27 мая 2023 года, банда CL0P Ransomware Gang, также известная как TA505, начала использовать ранее неизвестную уязвимость SQL-инъекции (CVE-2023-34362) в решении Progress Software для управляемой передачи файлов (MFT), известном как MOVEit Transfer. Веб-приложения MOVEit Transfer, выходящие в Интернет, заражались веб-оболочкой с именем LEMURLOOT, которая затем использовалась для кражи данных из базовых баз данных MOVEit Transfer. Аналогичным образом TA505 проводил кампании с использованием эксплойтов нулевого дня против устройств Accellion File Transfer Appliance (FTA) в 2020 и 2021 годах, а также MFT-серверов Fortra/Linoma GoAnywhere в начале 2023 года.

Содержание
  1. Indicators of Compromise
  2. IPv4
  3. URLs
  4. Emails
  5. SHA256

Indicators of Compromise

IPv4

  • 100.21.161.34
  • 104.194.222.107
  • 104.200.72.149
  • 107.181.161.207
  • 138.197.152.201
  • 141.101.68.154
  • 141.101.68.166
  • 142.44.212.178
  • 143.31.133.99
  • 146.0.77.141
  • 146.0.77.155
  • 146.0.77.183
  • 148.113.152.144
  • 148.113.159.146
  • 148.113.159.213
  • 15.235.13.184
  • 15.235.83.73
  • 162.158.129.79
  • 162.244.34.26
  • 162.244.35.6
  • 166.70.47.90
  • 172.71.134.76
  • 173.254.236.131
  • 179.60.150.143
  • 185.104.194.134
  • 185.104.194.156
  • 185.104.194.24
  • 185.104.194.40
  • 185.117.88.17
  • 185.117.88.2
  • 185.162.128.75
  • 185.174.100.17
  • 185.174.100.215
  • 185.174.100.250
  • 185.181.229.240
  • 185.181.229.73
  • 185.183.32.122
  • 185.185.50.172
  • 185.33.86.225
  • 185.33.87.126
  • 185.80.52.230
  • 185.81.113.156
  • 188.241.58.244
  • 192.42.116.191
  • 193.169.245.79
  • 194.33.40.103
  • 194.33.40.104
  • 195.38.8.241
  • 198.12.76.214
  • 198.137.247.10
  • 198.199.74.207
  • 198.245.13.4
  • 198.27.75.110
  • 20.47.120.195
  • 206.221.182.106
  • 208.115.199.25
  • 209.127.116.122
  • 209.127.4.22
  • 209.222.103.170
  • 209.222.98.25
  • 209.97.137.33
  • 213.121.182.84
  • 216.144.248.20
  • 23.237.114.154
  • 23.237.56.234
  • 3.101.53.11
  • 44.206.3.111
  • 45.182.189.200
  • 45.182.189.228
  • 45.182.189.229
  • 45.227.253.133
  • 45.227.253.147
  • 45.227.253.50
  • 45.227.253.6
  • 45.227.253.82
  • 45.56.165.248
  • 5.149.248.68
  • 5.149.250.74
  • 5.149.250.90
  • 5.149.250.92
  • 5.149.252.51
  • 5.188.206.76
  • 5.188.86.114
  • 5.188.86.250
  • 5.188.87.194
  • 5.188.87.226
  • 5.188.87.27
  • 5.252.23.116
  • 5.252.25.88
  • 5.34.178.27
  • 5.34.178.28
  • 5.34.178.30
  • 5.34.178.31
  • 5.34.180.205
  • 5.34.180.48
  • 50.7.118.90
  • 54.184.187.134
  • 54.39.133.41
  • 62.112.11.57
  • 62.182.82.19
  • 62.182.85.234
  • 63.143.42.242
  • 66.85.26.215
  • 66.85.26.234
  • 66.85.26.248
  • 68.156.159.10
  • 74.218.67.242
  • 76.117.196.3
  • 79.141.160.78
  • 79.141.160.83
  • 79.141.161.82
  • 79.141.173.94
  • 81.56.49.148
  • 82.117.252.141
  • 82.117.252.142
  • 82.117.252.97
  • 84.234.96.104
  • 84.234.96.31
  • 88.214.27.100
  • 88.214.27.101
  • 89.39.104.118
  • 89.39.105.108
  • 91.202.4.76
  • 91.222.174.68
  • 91.222.174.95
  • 91.223.227.140
  • 91.229.76.187
  • 92.118.36.210
  • 92.118.36.213
  • 92.118.36.249
  • 93.190.142.131
  • 96.10.22.178
  • 96.44.181.131

URLs

  • http://198.199.74.207:1234/update.jsp
  • http://5.188.206.76:8000/se1.dll
  • http://connectzoomdownload.com/download/ZoomInstaller.exe
  • http://guerdofest.com/gate.php
  • http://hiperfdhaus.com
  • http://jirostrogud.com
  • http://qweastradoc.com
  • http://qweastradoc.com/gate.php
  • http://zoom.voyage/download/Zoom.exe
  • https://connectzoomdownload.com/download/ZoomInstaller.exe

Emails

SHA256

  • 0b3220b11698b1436d1d866ac07cc90018e59884e91a8cb71ef8924309f1e0e9
  • 0e3a14638456f4451fe8d76fdc04e591fba942c2f16da31857ca66293a58a4c3
  • 0ea05169d111415903a1098110c34cdbbd390c23016cd4e179dd9ef507104495
  • 110e301d3b5019177728010202c8096824829c0b11bb0dc0bff55547ead18286
  • 1285aa7e6ee729be808c46c069e30a9ee9ce34287151076ba81a0bea0508ff7e
  • 1826268249e1ea58275328102a5a8d158d36b4fd312009e4a2526f0bfbc30de2
  • 2413b5d0750c23b07999ec33a5b4930be224b661aaf290a0118db803f31acbc5
  • 2c8d58f439c708c28ac4ad4a0e9f93046cf076fc6e5ab1088e8943c0909acbc4
  • 2ccf7e42afd3f6bf845865c74b2e01e2046e541bb633d037b05bd1cdb296fa59
  • 348e435196dd795e1ec31169bd111c7ec964e5a6ab525a562b17f10de0ab031d
  • 387cee566aedbafa8c114ed1c6b98d8b9b65e9f178cf2f6ae2f5ac441082747a
  • 38e69f4a6d2e81f28ed2dc6df0daf31e73ea365bd2cfc90ebc31441404cca264
  • 3a977446ed70b02864ef8cfa3135d8b134c93ef868a4cc0aa5d3c2a74545725b
  • 3ab73ea9aebf271e5f3ed701286701d0be688bf7ad4fb276cb4fbe35c8af8409
  • 3c0dbda8a5500367c22ca224919bfc87d725d890756222c8066933286f26494c
  • 4359aead416b1b2df8ad9e53c497806403a2253b7e13c03317fc08ad3b0b95bf
  • 48367d94ccb4411f15d7ef9c455c92125f3ad812f2363c4d2e949ce1b615429a
  • 58ccfb603cdc4d305fddd52b84ad3f58ff554f1af4d7ef164007cb8438976166
  • 5b566de1aa4b2f79f579cdac6283b33e98fdc8c1cfa6211a787f8156848d67ff
  • 6015fed13c5510bbb89b0a5302c8b95a5b811982ff6de9930725c4630ec4011d
  • 702421bcee1785d93271d311f0203da34cc936317e299575b06503945a6ea1e0
  • 769f77aace5eed4717c7d3142989b53bd5bac9297a6e11b2c588c3989b397e6b
  • 7c39499dd3b0b283b242f7b7996205a9b3cf8bd5c943ef6766992204d46ec5f1
  • 93137272f3654d56b9ce63bec2e40dd816c82fb6bad9985bed477f17999a47db
  • 98a30c7251cf622bd4abce92ab527c3f233b817a57519c2dd2bf8e3d3ccb7db8
  • 9d1723777de67bc7e11678db800d2a32de3bcd6c40a629cd165e3f7bbace8ead
  • 9e89d9f045664996067a05610ea2b0ad4f7f502f73d84321fb07861348fdc24a
  • a1269294254e958e0e58fc0fe887ebbc4201d5c266557f09c3f37542bd6d53d7
  • a8569c78af187d603eecdc5faec860458919349eef51091893b705f466340ecd
  • a8f6c1ccba662a908ef7b0cb3cc59c2d1c9e2cbbe1866937da81c4c616e68986
  • b1c299a9fe6076f370178de7b808f36135df16c4e438ef6453a39565ff2ec272
  • b5ef11d04604c9145e4fe1bedaeb52f2c2345703d52115a5bf11ea56d7fb6b03
  • b9a0baf82feb08e42fa6ca53e9ec379e79fbe8362a7dac6150eb39c2d33d94ad
  • bdd4fa8e97e5e6eaaac8d6178f1cf4c324b9c59fc276fd6b368e811b327ccf8b
  • c042ad2947caf4449295a51f9d640d722b5a6ec6957523ebf68cddb87ef3545c
  • c56bcb513248885673645ff1df44d3661a75cfacdce485535da898aa9ba320d4
  • c77438e8657518221613fbce451c664a75f05beea2184a3ae67f30ea71d34f37
  • c9b874d54c18e895face055eeb6faa2da7965a336d70303d0bd6047bec27a29d
  • cec425b3383890b63f5022054c396f6d510fae436041add935cd6ce42033f621
  • cf23ea0d63b4c4c348865cefd70c35727ea8c82ba86d56635e488d816e60ea45
  • d477ec94e522b8d741f46b2c00291da05c72d21c359244ccb1c211c12b635899
  • d49cf23d83b2743c573ba383bf6f3c28da41ac5f745cde41ef8cd1344528c195
  • d5bbcaa0c3eeea17f12a5cc3dbcaffff423d00562acb694561841bcfe984a3b7
  • daaa102d82550f97642887514093c98ccd51735e025995c2cc14718330a856f4
  • e8012a15b6f6b404a33f293205b602ece486d01337b8b3ec331cd99ccadb562e
  • ea433739fb708f5d25c937925e499c8d2228bf245653ee89a6f3d26a5fd00b7a
  • eb9f5cbe71f9658d38fb4a7aa101ad40534c4c93ee73ef5f6886d89159b0e2c2
  • ed0c3e75b7ac2587a5892ca951707b4e0dd9c8b18aaf8590c24720d73aa6b90c
  • f0d85b65b9f6942c75271209138ab24a73da29a06bc6cc4faeddcb825058c09d
  • f2f08e4f108aaffaadc3d11bad24abdd625a77e0ee9674c4541b562c78415765
  • fe5f8388ccea7c548d587d1e2843921c038a9f4ddad3cb03f3aa8a45c29c6a2f
  • ff8c8c8bfba5f2ba2f8003255949678df209dbff95e16f2f3c338cfa0fd1b885
Комментарии: 0
Похожие записи
0
2 дня
IOC

ToyMaker, брокер первоначального доступа, работающий в сговоре с группировками двойных вымогателей

ransomware
В 2023 году Cisco Talos обнаружила широкомасштабную компрометацию критической инфраструктурной организации, в ходе которой было обнаружено наличие нескольких угроз.
0
6 дней
IOC

ToyMaker, брокер первоначального доступа, работающий в сговоре с бандами двойных вымогателей

security
В 2023 году Cisco Talos обнаружил компромат на предприятие критической инфраструктуры, который включал в себя брокера первоначального доступа, известного как ToyMaker.