Purple Fox с момента ее появления в 2018 году заразила более 30 000 пользователей по всему миру. В 2021 году он загружал и выполнял криптовалютные майнеры, и как он продолжал совершенствовать свою инфраструктуру, добавляя при этом новые бэкдоры.
Машины пользователей атакуются с помощью троянских программных пакетов, маскирующихся под установщики легитимных приложений. Эти программы установки активно распространяются в Интернете, чтобы обмануть пользователей и увеличить общую инфраструктуру ботнета.
Операторы обновляют свой арсенал новыми вредоносными программами, включая вариант трояна удаленного доступа FatalRAT, который они, похоже, постоянно модернизируют. Они также пытаются усовершенствовать свой арсенал подписанных руткитов для обхода антивирусов (AV), чтобы иметь возможность обходить механизмы обнаружения безопасности.
Indicator of compromise
IPv4
- 156.226.173.202
- 144.48.243.79
SHA256
- 25da2ebdbe2136f07bd414795082364cafda79d8271d099e78891b079158ed1b
- 492fdcbdf81ed196b35cdbb7fac85e3a8ee1edebe0803034df900f5e1a5049b6
- 143be3d067188ae89a2c003ef2671bbdd790d6026664078098117cc7fc3373ed
- 21330417621547aa33b421a6d0834436453dd901dce75b9986ef3be743d1bdfa
- 7837ce02c57dd9fadd95882af162d46db5ae5718a59f0102478f62143a46cf71
- 88dd42dedc77e8ad117cc54d7b37083bbacaa6ecb84553bda31905b0a29e0e4d
- 1c8b01a100c0281153fe93168df3b79adc32bfb677c3a36c1d0d5d598cbe7cf3
- 0486df34e606d421e0f65aee68b5356ff1941f97c12f894f8b71318f607a54cc
- 9fb0a0dd309df7cbb7386f4de34be6ccc98ae64dde4773de99804871f49a4260
- 82490fa7297344ca9c37f901cbc5c43c5db51bba4b4a390589db0973d70475e4
- ef979beb55c51ca22265c34a26154e916cd8f3f160d8b0ae1a2b393f13962a0c
- ec6ea5da57991f343d28db611c076cb2bfd1100e69c6e5311d5295a05373801d
- 4d0238834821461963c558e9ceb975b4e9c2a347ea447f9e044966eaf85f5281
- 53132712a773da3c3f15cc9879b8bc89b1a757a041fcfefbb8d75e3238d471d6
- 07719f8de2fe07722f1fa464fa7091830b835b58d9c5f99763b9a49ee0d0491e
- 8577bcbd02d38bce9601eb43511017b0bbc5176ebc3c48c08c81f755fcf216f4
- 87d3ea42604943d2230cc0b5aea499da41fc7db46d141abf96875692040e4699
- 83ae0c568d6866c19960f1c2e2f2e28ee855c72d662eabc3acf50a09f1092730
- 799aa9612f9fffa5eab505ef3b9eabe78ac22f8f4bbe6b8f8cc2e8fca454667b
- 0926a30d0658671bf6dbb29a8cb33118930bb8211c90b170c2abfdc6a0e95b70
- 1fd53c5ca08065fa72da9b529719166e08948204bea862681f2a04eda8c0a64b
- 3f08a6f1998968b10bfbb19ffcb2904b96296a8c378aaa30e974cadfcd059e7f
- 601a488c0c9804823866f1c4647fa60a90572edbb101e3247f75cfc2611999a9
- 7bbe1fe9dc3346f40b3d6895dc9417b1c2cc5a940a41aaff39194588fc6efa20
- 8d776597d31016863a00cee4da6a58db5c181337d7dfcacb4e239389af3cb2d8
- 8df5b3d1e564397e838adf593714c97ade863b8caf81f666b93b4b0509062633
- 8f7decbfc2c576c3b1401b9dd11183ea355b12a1ccfcf15d6a36d5470338bfd4
- 937158fb5f7e2ddd0ca26e9d481be5e26efb85dee3bf77f06293ca5288973b92
- 93d35724293f8582757fbb9f139645bb79f3ddb92c8c64c78ded31a021097ecb
- 9a1aed2a2addafe001e8655cc869ba939f9a9b32ff55eb04282be435e12078cd
- 9d8f53dcf25223d42c818e9f644b332064e43b9e3a26cfbdbc73b68af5580dd3
- 9e20db31a624b1a255b2f7650efd9a1f20d6b077bc41edcfae88410198978941
- a24469103e727ece260bee7623387a2b339df206779bfb364388712606a1904d
- b061de89d542cd0a10558f6006e9a808ba32ac4d7ea54d2ba40f531d46919548
- b07b090547cb65dffb865dc9ef258a5e67e88555e798e6aaf3d0834bf2c742e3
- b2e0bd930dae20b4516b35d169b0583592050058d31ae84bcecefd2c15f13ddc
- c5245249c4f3d8851f6ce58d31b8406059e2a8530cfdbd4335f73110a1040f3e
- d152a38aa36cbdf9d384092fe81e3ddc93798999eb769e0e78bbcba4065f6b8c
- d239365a5e07cea9f7e56b9e1063f1fccfa883f654c68dc5f609d10a612262c8
- e9f7db12761d414a58aa2f4d1bda32698979e4e08bf42d03ae5fb1ebf11abb77
URLs
- hxxp://58585[.]xyz/tsetup20473[.]exe
- hxxp://xiaotaiyang[.]xyz/tsetup20473[.]exe
- hxxp://1077cp111[.]com/x[.]exe
- hxxp://whats[.]jsnsgjy[.]cn/whatsappsetupr.exe
- hxxp://kkiiz[.]com/safety3[.]exe
- hxxp://zhiyingzhifu8[.]com/flashc[.]exe
- hxxp://whats[.]hswlkjh[.]cn/whatsappsetupr[.]exe
IP:Port
- 194.146.84.244:4397
- 194.146.84.243:4397
- 194.146.84.245:4397
- 194.146.84.242:4397
- 194.146.84.246:4397
- 107.151.64.102:4397
- 107.151.64.102:7788
- 107.151.64.101:4397
- 107.151.94.68:4397
- 107.151.94.69:4397
- 107.151.94.70:4397
- 107.151.94.66:4397
- 107.151.94.67:4397
- 107.151.64.100:4397
- 107.151.64.99:4398
- 107.151.64.98:4398
- 23.225.132.246:4398
- 23.225.132.245:4398
- 23.225.132.243:7456
- 23.225.132.242:7456
- 193.164.223.77:7456
- 107.151.113.219:7456
- 107.151.113.222:7456
- 107.151.113.221:7456
- 193.164.223.78:7456
- 107.151.113.220:7456
- 107.151.113.218:7456
- 193.164.223.76:7456
- 193.164.223.75:7456
- 193.164.223.74:7456
- 193.36.112.189:7456
- 193.36.112.190:7456
- 193.36.112.188:7456
- 193.164.222.130:7456
- 193.36.112.187:7456
- 193.164.222.132:4567
- 156.234.65.84:4567
- 193.164.222.131:4567
- 156.234.65.86:4567
- 156.234.65.83:4567
- 156.234.65.82:6688
- 156.234.65.83:6688
- 43.240.238.252:6688
- 43.240.238.254:6688
- 43.240.238.253:6688
- 154.39.248.37:6688
- 202.8.123.68:6547
- 43.240.238.251:6688
- 160.202.170.62:6688
- 202.8.123.124:6547
- 202.8.123.122:6547
- 202.8.123.117:6547
- 202.8.123.99:6547
- 202.8.123.232:6547
- 202.8.123.81:6547
- 202.8.123.233:6547
- 202.8.123.36:6547
- 202.8.123.35:6547
- 202.8.123.190:6547
- 202.8.123.153:6547
- 202.8.123.160:6547
- 202.8.123.159:6547
- 202.8.123.98:6547
- 202.8.123.97:6547
- 202.8.123.97:6547
- 144.48.222.252:6547
- 144.48.222.220:7777
Technical Report
| 1 |
