Главная страница » IOC
0
9 месяцев
IOC

IcedID использует ScreenConnect и CSharp Streamer для развертывания вымогательского ПО ALPHV

security

Исследователи из DFIR Report опубликовали подробный анализ кибервзлома, совершенного в октябре 2023 года с использованием программ-вымогателей IcedID, Cobalt Strike и ALPHV.

Злоумышленники получили первоначальный доступ через вредоносное письмо, распространяющее zip-архив, содержащий сценарий Visual Basic Script (VBS) и файл README - часть спам-кампании, доставляющей вариант IcedID. Этот загрузчик, отдавая предпочтение доставке полезной нагрузки перед своими первоначальными банковскими функциями, создавал запланированную задачу для сохранения и связывался с командно-контрольным сервером, сбрасывая еще одну DLL-библиотеку IcedID.

Затем злоумышленник использовал ScreenConnect для удаленного управления, выполнял команды для разведки и устанавливал маячки Cobalt Strike. Используя такие инструменты, как CSharp Streamer для доступа к учетным данным и Rclone для утечки данных, злоумышленник поддерживал постоянство и проводил обнаружение сети. Злоумышленники также использовали для вредоносных действий встроенные утилиты Windows, RDP и пользовательский инструмент под названием confucius_cpp.exe. В конце концов, они создали и запустили программу ALPHV ransomware, удалив резервные копии и оставив записки с выкупом на скомпрометированных узлах.

Indicators of Compromise

IPv4

  • 109.236.80.191
  • 173.255.204.62
  • 212.18.104.12
  • 217.23.12.8
  • 77.105.140.181
  • 77.105.142.135
  • 85.209.11.48
  • 92.118.112.113
  • 94.232.46.27

Domains

  • evinakortu.com
  • hofsaalos.com
  • jerryposter.com
  • jkbarmossen.com
  • modalefastnow.com
  • skrechelres.com

URLs

  • http://85.209.11.48:80/download/csss.exe
  • http://85.209.11.48:80/download/http64.exe
  • http://85.209.11.48:80/download/test1.exe
  • http://85.209.11.48:80/ksaid
  • http://85.209.11.48:80/ksajSk
  • http://temp.sh/VSlAV/http64.exe

MD5

  • 00c3f790f6e329530a6473882007c3e5
  • 08fcf90499526a0a41797f8fdd67d107
  • 0decfd5e200803523c0437ff7aac7349
  • 24701208c439b00a43908ae39bbf7de8
  • 26239fa16d0350b2224bfb07e37cbd84
  • 2b1b2b271bc78e67beca2dcd04354189
  • 4ff5625e6bd063811ec393b315d2c714
  • 5548caa3b8cdd73b3a56f3f102942882
  • 581cfc2d4e02a16b9b2f8dcb70a46b8b
  • 5cbb08cd26162e8046df17d15ba6e907
  • 642bf60f06bb043c4a74d0501597cf5e
  • 7ff0241b28d766198743d661a2f67620
  • 99d8c3e7806d71a2b6b28be525c8e10e
  • a768244ca664349a6d1af84a712083c0
  • bf15a998fd84bee284ae9f7422bda640
  • d28271ed838464d1debab434ef6d8e37
  • efb019b1999d478a4161a030a5d9302e
  • fb34b1fb80b053e69d89af5330cd7d4b

SHA1

  • 1d345799307c9436698245e7383914b3a187f1ec
  • 25ef7044cdf9b7c17253625a2bd5d2d6fee44227
  • 2741c136b92aca1e890d2b67084c6867d3cbaa87
  • 27acb306baec022a974db50a90f48183541e12fe
  • 39300863bcaad71e5d4efc9a1cae118440aa778f
  • 41f47f8ee34c9ae7a4bb43b71e3cc85266302e8e
  • 42b188e2e015a72accc50fcbde2d2c81f5258d0b
  • 514ddcf981d7d8684b3ac20e902f5017292d51c5
  • 59791ec1c857d714f9b4ad6c15a78191206a7343
  • 7d130ace197f4148932306facfc8d71fa8738d86
  • 8837ad1bafb56019a46822da0ed8b468f380c80d
  • b02db8c2b9614e986e58f6e31be686b418f9aba7
  • be8fd3c3507f02785da6f12c9b21ff73638cdf23
  • c83da151f26a58aecb24fc6ba4945acb934ee954
  • e1bc0c7cf030af31522c1160e0c70df5cecbb64a
  • e43ecd2f6859e4769028fbd7176bb3339393ea22
  • e51217efb6e33fca9f7c5f51e5c3a4ae50499a37
  • e97b00ef58fe081170137536f28df590dbb41a0e

SHA256

  • 3336bfde9b6b8ef05f1d704d247a1a8fd0641afaecc6a71f5cfa861234c4317b
  • 4103cc8017409963b417c87259af2a955653567cdbf7d5504198dd350f9ef9c1
  • 457a2f29d395c04a6ad6012fab4d30e04d99d7fc8640a9ee92e314185cc741d3
  • 5bab2bc0843f9d5124b39f80e12ad6d1f02416b0340d7cfec8cf7b14cd4385bf
  • 5d1817065266822df9fa6e8c5589534e031bb6a02493007f88d51a9cfb92e89b
  • 6a6cd64fba34aadad2df808b0fcab89ef26a897040268b24fed694036cc51d6a
  • 6f3a02674b6bbf05af8a90077da6e496cc47dda9101493b8103f0f2b4e4fd958
  • 7d2e705dcaa9f36fb132b7ff329f61dd5d0393c28dcd53b2be1e3ba85c633360
  • 94d6395dcab01250650e884f591956464d582a4f1f5da948055e6d2f0a215ace
  • 9c5b233efb2e2a92a65b5ee31787281dd043a342c80c7ac567ccf43be2f2843f
  • bc49622009b29c23ee762fe6f000936eb1c4c1b29496d5382f175c99ad941aac
  • bd4876f7efbd18a03bbb401a5dc77ed68ef95c72a3f7be83cef39a4515e0c476
  • c2ddb954877dcfbb62fd615a102ce5fa69f4525abc1884e8fe65b0c2b120cfd4
  • cd0e941587672ab1517681a7e3b4f93a00020f8c8c8479a76b9e3555bcd04121
  • d8f51dcfe928a1674e8d88029a404005ab826527372422cac24c81467440feb0
  • dfa8c282178a509346fb0154e6dbd5fbb0b56c38894ce7d244f5ca26d6820e67
  • e14ba0fb92e16bb7db3b1efac4b13aee178542c6994543e7535d8efaa589870c
  • fab34d1f0f906f64f95b9f244ae1fe090427e606a9c808c720e18e93a08ed84d
Комментарии: 0
Похожие записи
0
12 часов
IOC

Распространение RansomHub Ransomware компанией SocGholish

ransomware
Анализ Trend Research показал, что SocGholish, вредоносная программа, играет ключевую роль в распространении RansomHub ransomware через скомпрометированные веб-сайты с помощью обфусцированных JavaScript-загрузчиков.
0
12 часов
IOC

Члены Black Basta (RaaS) использовали автоматизированную систему грубого форсирования, чтобы атаковать пограничные сетевые устройства

security
11 февраля 2025 года русскоязычный актер, использующий Telegram-аккаунт @ExploitWhispers, опубликовал в сети журналы внутренних чатов группы Black Basta Ransomware-as-a-Service (RaaS).