Главная страница » Индикаторы компрометации
0
1 минута
Индикаторы компрометации

DarkGaboon: новая волна кибератак на российские компании с использованием шифровальщика LockBit

APT

Группа киберразведки PT ESC выявила активность ранее неизвестной APT-группировки DarkGaboon, которая с весны 2023 года атакует российские компании с целью финансового вымогательства. В ходе расследования инцидентов специалисты обнаружили недостающие элементы kill chain, включая сетевой сканер N.S. и шифровальщик LockBit, что позволило полностью восстановить картину атак.

Описание

Группировка использует фишинговые письма на русском языке, адресованные сотрудникам финансовых подразделений. Вложения содержат вредоносные RTF-документы и .scr-файлы, замаскированные под легитимные документы. После проникновения в сеть злоумышленники применяют RAT-трояны Revenge и XWorm для горизонтального перемещения, а затем запускают сканер N.S. для поиска доступных сетевых ресурсов. Завершающим этапом атаки становится шифрование данных с помощью LockBit и оставление вымогательских записок с инструкциями по оплате.

Инфраструктура DarkGaboon включает российские SMTP-серверы и домены, а также зарубежные хостинги, включая американского провайдера Nybula LLC. Группировка активно использует опенсорс-инструменты, что затрудняет её идентификацию среди множества других киберпреступных структур. Однако анализ артефактов, включая электронные адреса и домены, позволил связать DarkGaboon с серией атак 2023–2025 годов.

PT ESC прогнозирует дальнейшую активность группировки и продолжает мониторинг её действий. Компаниям рекомендуется усилить защиту от фишинга, регулярно обновлять ПО и обучать сотрудников основам кибербезопасности.

Индикаторы компрометации

IPv4

  • 185.185.70.85
  • 196.251.66.118

Domains

  • a4b7c3-f0gl1iz9.ru
  • b8c1d4e9-f2g3.ru
  • b9c1d6-x0yol4.ru
  • be-blo.ru
  • bj-ki.ru
  • bl-xp.ru
  • bm-si.ru
  • bn-ki.ru
  • bs-ku.ru
  • c3d7e0-l2mis5.ru
  • c6d2e9f4-g3hxas7.ru
  • d6e3fiz7-h4ti1.ru
  • g7f3h2-p9qua16.ru
  • gc-li.ru
  • gd-rl.ru
  • h3i6j0k4-l7m8.ru
  • h4j3k2-a8nips7.ru
  • h6i1g9-d3z1ze8.ru
  • in-lits.ru
  • it-loms.ru
  • it-pips.ru
  • j8k9lxds4-p1q6.ru
  • ji-gops.ru
  • ji-la.ru
  • k1j9p4-t5q3.ru
  • kilimanjaro.theworkpc.com
  • l7f9v2-n1m4p3.ru
  • l9m2n5o3-p4q6.ru
  • l9o2m6-k1siv2j8.ru
  • m2o9l8-k3jk6v3ol51s4.ru
  • m5n7o1p3-q4r2.ru
  • m6o7l2-w3von8.ru
  • myhost.misecure.com
  • myhost.servepics.com
  • n9o2p0q1-r1z4.ru
  • nefgi.ru
  • p1q7r8s2-t3u9.ru
  • q9r2s8t1-u4v5.ru
  • r2s5t1-x8y6.ru
  • reisebuero-ed50765elmann.ru
  • ri-lil.ru
  • s7t1v3-w4sanx9.ru
  • t0u5v3-w5jk27zn79x8.ru
  • t4u5v6w9-x0y1.ru
  • t9u2w3-v5xex1.ru
  • t9u4g7k8d2y8v6-w1x3g92.ru
  • u6v9w2x3-y4z7.ru
  • ut-li.ru
  • v7w4x1y3-z2axl9.ru
  • x2y4z6a8-b9c0.ru
  • x9y5z1-u2t3bn3.ru
  • xa-it.ru
  • y1z4x7-t8bxt2.ru
  • y8z6x4-a1b6g1o62.ru
  • z8y3g8h9b5n4-a9m5x1r2n.ru
  • zi-gile.ru

SHA256

  • 02023bc19eb1cb987d350cdf2b7c60b9142025a03f6a93efc0d243daec5cdf5b
  • 0520a212d6d20cb0b2c89e5951318b15444898349a220730526c9987c5f1e3e4
  • 0acc2f5a85282cdaea23cfbb0e78b73dd2d4d6e194da0f885acce0819240811b
  • 0afccbfc1d3706f151e1541148f9197a517d5d988339eb268d9eecea78a705d6
  • 0fbd3fffb7370922419865da86c34f1d6e846f3c5e1645175c0a95efbb6b4105
  • 14fe6ed3f29ec0c6063bf640aa54e6dddd0b722a7462cec3afda6e0bca50a6b5
  • 1ad02fe8314924e7e149a364c871eaccd70e01121c1447887496d35f842396bb
  • 25a9af3c85cba3ffd5a336cd6f17b82f0cc25e8020a6aed5a36039fbbd51d4eb
  • 26910be32d61e27fcdc021f63d47d32c2737e19c8e8a3a579a0284c58f3d9d58
  • 2a6b561674a8a6e82f53a81a8833e172b894112fc788a2a4e90a9fa90daeb3f4
  • 2b37616addfdbc9ba9509f0bd70be3ab13d184c5082e59640c9df6fcd3454465
  • 348d501097ec2efb17a7b2fb6f3ff63e0b9990d0ba7d3de93c1c04c0fff3becc
  • 352c65c2a10165a5a26977b3f72a1eb248987921fb4ae3350542af665bd8ecd9
  • 3602dcb3dff99b150b8a6f12457c965b9ec7a883a3ecd455b025962346948fb8
  • 3755718db9d33f4aba2563de454d4530a308b41b1096c904102d08e2101f2020
  • 38bfe75c845a89bbdad6ca7f622a19bc12424e7bce7532a1e0e7c77dcffa5a2c
  • 3b2b5251c3fc27fe3b2e1223e5d634edfe3abf63ea9576787335015c201899a9
  • 3fc5a5d655debfac40833c9c2a08c492de317c4f0c3963512ba777df7106cd72
  • 41bbc46d96f3f9329aa53c8d239c30988a332fd9a03e724d73c82193e1b5a97a
  • 454d665b598ea0baba192a88cceb1b93f3a034b851db8ac01521b75dc979fb5c
  • 46b402b3ac3add312a2aa21210c25f8086b76b4089284ed6bb689426e55a67c2
  • 4866772541b5ab893dca6905ee069b119b58778daa45fb673b7361d7b27458d2
  • 55d05771086c5acc0c6275be9e1366819b5bb941a1bfb85ea4a1721ce6486a85
  • 592d006cd1961e88071e7f033325727e505660d17a40044bd187539c2baec8ed
  • 5af2d7fedbaa78758e8fbb6ea0a0cbd1cca981df52008f10560151f9212a0c15
  • 5cfcfecf6639a99bdbadbf083129ae81f6fa33bfbeb1c3152e161d6d8fd12b70
  • 7a8c864ed8b7ca908d3f317d7e63a30a85fb3e8c94070f23f2cf0bfa01c5e0b5
  • 7ebf9a48fc1ee251c6be9a21e008b7f16d32de17d80cf97ca0fda8b9199fe0b7
  • 7f4b0d9b4ba2013a4bdc441b76255fe2c328b5629138c414d78f6353cd9d8c24
  • 804e178da6e0088a2a05bfbfdf04453f53b2fff3cc4a7b928c34d2ebeddc0d95
  • 8ed2849034485f817f7622675e546c7c3d9542e049f55b1d027cb2a647187e99
  • 90307be8bbd4f52050fb2dc6aac599dd8f0067fd46500b9374efe2bc596d3e03
  • 9444422ae252d58d039696b23de816ee6ebe8bcb96257c3b4718a7c80256552e
  • 95d4b896778053d6bca170f40b0b406bfd79f0851f27e1c065f9b5c4d1bef361
  • 96803c9ec9fb0765b70d2fdd945b5507a4ee02221c0e023b7e9f71fb5bf43a76
  • 9d03a2be6eb6645c9590d7060e0fc151975ac329224e787e98ae046502fe74ad
  • b13939038ab437abde638c860fcf74518c7a3741c2edb0ba4c6bd796e8262a22
  • b509d7ac35c6e623db52e284495bb0d8d03144940524a92e95b0c2d0283a291e
  • b53fd63a70f1e22cc87af05865855d8b99b04ffd527aacc73c70deca44fbbf1f
  • c043c0936b35a81e0349b359028e824d58b8b02292c420dba8ac23463ede51c4
  • c5ad7a3f3322f9a266158cf398573a4c2bd02ab0120275f783b127f0f48cc595
  • ccf106fadee42ec9cd4570f234b7cdd258cc8f4cc558325a0c4ec4a49eca6070
  • d3155bdd8c4dea57b41fe0200806382836df5c7049be8021c7bed14e2bf6c79e
  • d931ed0c3da566e48df473403194f2546479208d3b9b83d9956a726c9c384a36
  • db8adfa9d7e48cdc7656f7edeccac256048e805b0ff09430d352ecf0dcc25f67
  • e6db31b5a99374473de9ffc73726e637ef57cbe4178399e3163a202d6b53b093
  • e708b6fffd322a1f024c6af4c65524a1c0f6c4b1e7ca36384a25c567d52f5e13
  • e95c5c29e22613662ab9afba331b93338992e6717be8d9fa60cc22d5f44f828a
  • f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446
  • fb9c92d2491e2e659b0c7ab5069af9f65b1825452f3cc25098c5c474aeb52464
Комментарии: 0
Похожие записи
0
1 час
Индикаторы компрометации

Operation Sindoor: Киберштурм на критическую инфраструктуру Индии

APT
Seqrite Labs, крупнейшая в Индии лаборатория анализа вредоносного ПО, зафиксировала масштабную киберкампанию под кодовым названием Operation Sindoor. В ней участвовали как государственные хакерские группировки
0
1 час
Индикаторы компрометации

Более 20 фишинговых приложений для кражи криптовалют обнаружены в Google Play Store

phishing
Специалисты Cyble Research and Intelligence Labs (CRIL) выявили более 20 вредоносных приложений в Google Play Store, которые маскируются под популярные криптокошельки, такие как SushiSwap, PancakeSwap, Hyperliquid и Raydium.
0
1 час
Индикаторы компрометации

Китайская телекоммуникационная отрасль под атакой: вредоносные программы VELETRIX и VShell в рамках операции DRAGONCLONE

APT
Специалисты Seqrite Labs APT-Team обнаружили целевую кампанию против китайской телекоммуникационной отрасли, в частности против China Mobile Tietong Co., Ltd. - дочерней компании China Mobile, одного из крупнейших операторов связи в Китае.
0
3 часа
Индикаторы компрометации

Китай обвиняет Тайвань в организации кибератак при поддержке США

APT
Китайские власти обвинили власти Тайваня, представленные Демократической прогрессивной партией (ДПП), в организации серии сложных кибератак через группы Advanced Persistent Threat (APT).