Главная страница » IOC
0
2 года
IOC

Gootloader Malware IOCs - Part 2

security

В мае 2023 года команда по поиску угроз ReliaQuest отреагировала на инцидент, связанный с вредоносным ПО "Gootloader" на базе JavaScript, которое привело к доступу к учетным данным и эксфильтрации. Команда использовала телеметрию конечных точек и сети для локализации угрозы и определила цепочку заражения вредоносной программы и полезную нагрузку второго этапа.

Gootloader - это вредоносная программа начального доступа, которая использует SEO-отравление для манипулирования результатами поисковых систем и загрузки вредоносного ПО. Она сохраняется с помощью запланированной задачи и связывается с серверами командно-контрольной службы для проникновения полезной нагрузки второго этапа, часто Cobalt Strike. Злоумышленники использовали Gootloader для получения доступа и утечки учетных данных из среды.

Атака начиналась с посещения пользователем зараженного веб-сайта и загрузки ZIP-файла, содержащего вредоносный файл JavaScript (JS). После выполнения JS-файл подбрасывал другой JS-файл и устанавливал постоянство путем создания запланированной задачи. Полезная нагрузка Gootloader взаимодействовала с командно-контрольными доменами, отправляя системную информацию в заголовках cookie.

Полезная нагрузка второго этапа, идентифицированная как SystemBC RAT, внедрялась в реестр. Позже злоумышленники получили удаленный доступ, повысили привилегии и осуществили боковое перемещение с помощью протокола удаленного рабочего стола (RDP). Они сбросили учетные данные LSASS, сохранили содержимое реестра и передали данные на FTP-сервер.

Indicators of Compromise

IPv4

  • 167.172.154.244
  • 217.145.84.64
  • 66.33.211.237
  • 94.156.189.36

URLs

  • http://ddman-vpn.ddns.net/wordpress/xmlrpc.php
  • https://airjust.de/xmlrpc.php
  • https://anevaz.com.br/xmlrpc.php
  • https://cacommerciallaw.com/xmlrpc.php
  • https://demo.petsure.com/xmlrpc.php
  • https://docs.vrent.techvill.net/xmlrpc.php
  • https://emailbuilder.a6uat.co.uk/download.php
  • https://gahar.ir/xmlrpc.php
  • https://jocarsa.com/xmlrpc.php
  • https://maharat-rt.com/xmlrpc.php
  • https://phone.do/xmlrpc.php
  • https://pornmagazine.club/xmlrpc.php
  • https://spinomenal.com/xmlrpc.php
  • https://wildlife.org/xmlrpc.php

SHA256

  • 72ecfa3693ce5858332c9cee21b608a8f0c2dc3462d56e8bc9955c550a09d55d
  • c3a62fce18a62c8db3b43b5fa776f650fbfc91ecf66457f51a0149034fb53670
  • f2afd46cfef3883fc858ca7b7730d4d6ee56a7aedbdb1b1f7bda7dba054f489e
Комментарии: 0
Похожие записи
0
1 день
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает
0
19 дней
IOC

Как быстрые фишинговые атаки используют слабые места

ransomware
Недавно компания ReliaQuest столкнулась с взломом в производственном секторе, связанным с фишингом и утечкой данных. Злоумышленники были очень быстры и смогли взломать систему всего за 48 минут.
0
22 дня
IOC

Buer Loader IOCs

security
Buer (BuerLoader) - это загрузчик, продаваемый на подпольных форумах и используемый злоумышленниками для доставки вредоносных программ с полезной нагрузкой на целевые машины.
0
28 дней
IOC

Sandworm APT нацеливает на украинских пользователей троянские средства активации Microsoft KMS в рамках кампаний по кибершпионажу

security
Аналитики EclecticIQ утверждают, что Sandworm (APT44) активно осуществляет кампанию кибершпионажа против украинских пользователей Windows. Используя пиратские активаторы Microsoft Key Management Service