Главная страница » IOC
0
9 месяцев
IOC

CoinMiner IOCs - Part 4

security

Аналитический центр AhnLab SEcurity Intelligence Center (ASEC) сообщает о недавней атаке на корейское медицинское учреждение с использованием уязвимого веб-сервера Windows IIS. В результате атаки был установлен CoinMiner. Предполагается, что атака была направлена на систему цифрового управления и передачи медицинских изображений (PACS), так как веб-оболочки были загружены по пути, характерному для таких систем. PACS используется во многих больницах, и каждое медицинское учреждение может использовать различные продукты PACS.

Майнинг для улучшения разведки угроз

На веб-сервере было обнаружено несколько попыток загрузки веб-оболочек. Предполагается, что уязвимости были обнаружены в продукте PACS или администратор неправильно настроил параметры безопасности. Атаки, связанные с загрузкой веб-оболочек, произошли дважды, и нет прямой связи между ними.

Злоумышленники, предположительно говорящие на китайском языке, использовали инструменты Cpolar и RingQ, разработанные на китайском языке. Кроме того, были обнаружены китайские аннотации. Это может указывать на то, что значительное количество атак на уязвимые веб-серверы в Корее было совершено китайскоязычными злоумышленниками.

В первой атаке злоумышленник установил веб-оболочки Chopper и Behinder, собрал информацию о системе и установил инструмент повышения привилегий BadPotato и прокси-инструмент Cpolar. Затем был установлен CoinMiner. Во второй атаке были использованы веб-оболочки Godzilla, Chopper и Behinder, а также инструменты повышения привилегий GodPotato и PrintNotifyPotato с использованием уязвимости CVE-2021-1732. Злоумышленники также установили инструмент Fscan и удаленный командный интерпретатор для исследования сети.

В обоих случаях были обнаружены дополнительные инструменты и вредоносное ПО, такие как Frpc, Lcx и "useradd.exe", предназначенные для проброса портов и добавления учетных записей пользователей для удаленного доступа.

Indicators of Compromise

IPv4 Port Combinations

  • 1.119.3.28:7455
  • 14.19.214.36:3333
  • 14.19.214.36:6666

URLs

  • http://14.19.214.36/11.exe
  • http://14.19.214.36/aa.aspx
  • http://14.19.214.36/ew.exe
  • http://14.19.214.36/fscan.exe
  • http://14.19.214.36/RingQ.exe
  • http://14.19.214.36:6666/pp.exe
  • http://192.210.206.76/sRDI.dat
  • http://45.130.22.219/aspx.exe
  • http://sinmaxinter.top:7001/C3-server25.zip
  • http://sinmaxinter.top:7001/services.zip

MD5

  • 10b6e46e1d4052b2ad07834604339b57
  • 10cf4d43163ee395ddad1fe7e777e2c9
  • 1fdb1dd742674d3939f636c3fc4b761f
  • 205e6247f5a0dce8a55910354c816a61
  • 2183043b19f4707f987d874ce44389e3
  • 285b5f246f994b4650475db5143e4987
  • 2c3de1cefe5cd2a5315a9c9970277bd7
  • 371a2eb2800bb2beccc1a975f3073594
  • 3c5905da1f3aecd2dccc05f6b76a1ca9
  • 40dc8989d4b2e3db0a9e98ef7082b0d9
  • 493aaca456d7d453520caed5d62fdc00
  • 523613a7b9dfa398cbd5ebd2dd0f4f38
  • 5d93629fbc80fed017e1657392a28df4
  • 5d9464aba77e1830e1cf8d6b6e14aa55
  • 5dcf26e3fbce71902b0cd7c72c60545b
  • 5eeda9bfb83aacb9c3f805f5a2d41f3b
  • 5f3dd0514c98bab7172a4ccb2f7a152d
  • 62ba55ac729763037da1836b46cb84bc
  • 67af0bc97b3ea18025a88a0b0201c18d
  • 69c7d9025fa3841c4cd69db1353179cf
  • 705e5d7328ae381c5063590b4f5198da
  • 71a6ba713f3f5c8e24c965487a86b5d4
  • 73cdd1be414dec81c6e42b83f0d04f20
  • 7727070eb8c69773cafb09ce77492c27
  • 77d507d30a155cf315f839db3bf507f7
  • 7871587d8de06edc81c163564ea4ea41
  • 7abca4faa3609f86f89f1a32fe7bbcc6
  • 7e1a2828650e707d8142d526604f4061
  • 7e9f28cedfa8b012ab8646ac341a841c
  • 83b66aae624690e82c8e011e615bce59
  • 87562e70e958c0a0e13646f558a85d04
  • 8cf601c06370612010f438fa8faa8aa7
  • 8d52407e143823a867c6c8330cdcb91a
  • 8f7dfbec116017d632ca77be578795fd
  • 93abe2fcb964ec91de7d75c52d676d2d
  • 986c8c6ee6f6a9d12a54cf84ad9b853a
  • a66338d9ba331efa4918e2d6397b17fe
  • b69eb0155df920514d4ae8d44316d05a
  • b81577dbe375dbc1d1349d8704737adf
  • ce1f3b789b2aab2b2b833343f13b7c98
  • d6f84855f212400314fb72d673aba27b
  • d76e1525c8998795867a17ed33573552
  • e13adb67739f4b485544ed99bc29f618
  • e2753e9bc7e5880a365f035cdc5f6e77
  • e8a7e8bb090da018b96aab3a66c7adeb
  • e9cb6a37c43e0393d4c656bc9f6bf556
  • f222524766456936074f513cec2149a8
  • f3bdcd409063a42479dbb162dc7f5d21
  • f6591c1ab7f7b782c386af1b6c2c0e9b
  • f7d53946b3ae7322cd018480a2f47de8
  • fce1b5ffcaefd1dcb130f4e11cdb488d

Mining Pool

IPv4 Port Combinations

  • 141.11.89.42:465
  • 141.11.89.42:8443
  • 141.11.89.42:995
  • 45.130.22.219:465
  • 45.130.22.219:995
  • 45.147.51.78:465
  • 45.147.51.78:995

Domain Port Combinations

  • auto.c3pool.org:33333
  • auto.skypool.xyz:9999
  • c3.wptask.cyou:33333
  • info.perflogs.top:995
  • pop3.wptask.cyou:995
  • sky.wptask.cyou:9999
  • smtp.wptask.cyou:465
Комментарии: 0
Похожие записи
0
2 дня
IOC

Тенденции в области фишинговых писем в феврале 2025 года

phishing
Наиболее распространенной угрозой среди вложений фишинговых писем был фишинг, при котором использовались скрипты, чтобы подделать страницы входа в систему и привлечь пользователей к вводу своих учетных данных.