Главная страница » IOC
0
2 года
IOC

LokiLocker, BlackBit IOCs

ransomware

 F.A.C.C.T. проанализировали KillChain шифровальщиков LokiLocker и BlackBit

LokiLocker, BlackBit

  1. В качестве начального вектора атак злоумышленниками используют преимущественно скомпрометированные службы удаленного доступа  и, прежде всего, это RDP (Remote Desktop Protocol). Доступ через публично доступный терминальный сервер является одной из самых популярных техник получения первоначального доступа к ИТ-инфраструктуре жертвы у киберпреступников, промышляющих вымогательством за восстановление зашифрованных данных.
  2. Для получения доступа к терминальному серверу атакующие могут использовать подбор имени пользователя и пароля . Также корректные учетные данныемогут быть приобретены злоумышленниками у других злоумышленников, например, в андеграунде у брокеров начального доступа.
  3. Получив первоначальный доступ, атакующие копируют на скомпрометированный хост набор инструментов или его часть, а также стремятся закрепиться и получить доступ к привилегированным учетным данным, чтобы получить возможность продвигаться по сети.
  4. Для получения привилегированных учетных данных атакующие используют популярную легитимную утилиту mimikatz
    • Advanced Port Scanner (https://www.advanced-port-scanner.com/) (Advanced_Port_Scanner_2.5.3869.exе);
    • SoftPerfect Network Scanner (https://www.softperfect.com/products/networkscanner/) (nasp.exe);
  5. Для разведки сети атакующие используют следующие сетевые сканеры:
    1. Атакующие используют различные версии консольной утилиты NS (NS.exe, 5-NS.exe)  для сканирования общих ресурсов сети (Shares) (T1135) и подключения их как сетевых дисков, а также монтирования скрытых томов. Ранее такие утилиты встречались в атаках с использованием программы-вымогателя Dharma.
    2. Для поиска файлов и папок атакующие использовали утилиту Everything (ET.exe). Это производилось, прежде всего, для поиска аутентификационных данных, сохраненных в текстовых файлах (T1552).
    3. Также злоумышленники просматривали файлы-документы на хостах, но не похищали их. Предположительно, это делалось для оценки платежеспособности жертвы и определения суммы выкупа.
  6. Для продвижения по сети партнеры используют RDP и учетные данные, которые были похищены или получены в результате успешного перебора паролей (brute force)
  7. Атакующие предварительно отключают антивирусное программное обеспечение до развертывания программы-вымогателя
  8. Распространение программы-вымогателя по ИТ-инфраструктуре жертвы производилось атакующими преимущественно вручную

Indicators of Compromise

IPv4 Port Combinations

  • 157.90.17.53:7300

Domains

  • 369828d7529322365c2ef3568e4256b9a40555cc2b2a041fff.buzz
  • 782f81bd21c84ba434d3ab489d9cdb85e373e11cfa1d5a73d8ea1746ed3f63d2loki-locker.one
  • application-api.xyz

URLs

  • http://imagesource.zapto.org
  • http://lokifiles.com/
  • http://tb28.trainbit.com:8080

Emails

SHA256

  • 08837c088cd74facf6e840f23bbd2815cba4ec9835d7910ec73268b2b8f3af7a
  • 089efde9906a483ca3dcc9edaede9cd3a92dee2fea983113ee673c09d919ca82
  • 0923ac3185f9200912d9a2ef021b7cc0f44fb17fd3049441a2a83405c8a28637
  • 0c620b4f227192396952bf24133436ff53c287a83e8c0669a115515ee3daaf75
  • 0d144b885ff9e8a8c52410c3e1bb80ae06c5f54abf81836e048425945e8658c0
  • 0dee659fa261ed1e59af043e8d5abcda6a3189c4b4b040748eba6dfa4c54ee96
  • 13933403b4b5d79da1decbc41867c842e3577bcba8ce3859f7d9b881348ad377
  • 14322e09195ff302868ab26fb2a4105b153f68adcf6065870828b8e66e8a89fa
  • 16dae8bde25111bf592340342fc620277584673caad560e5f5d7bb970c47da70
  • 1c2ef6f033059176cfe02ce284b6ac46baae9c3ec1d64cca001064cce10c9c39
  • 1d0930fed7eb72f1338b0aed0d47e72731cd599200d83058aec2fd9825fa71c8
  • 26d16bc63c093fbde017865985b44a61b1f8e1240bc7459f1d1222eeea2cc4a1
  • 27f70a597819317d551f553d9adf6510f63180a65e9faff08d8384a22f8b6779
  • 2cc1a64ed6a8157ff91691e99cba2cf16b6040e36d6bbae398d8c27712eb73ae
  • 2f15bbcce80d6d1d8297c52285f43ea0b57b9e4ce4bc2ddfaba68151fae6ac86
  • 2f22f39ec1b30fbe3d5e6184378ef686de2038d12d98229f5bb14cf10653ea21
  • 33eff5a62ed6ede2c5b4a640a7ad0bca6be4326886acf45bc9159177b05b7d28
  • 35e0dc397215dba3fe472487fbce1f4266a53eebdbdd50b8380cfcf08c8bed85
  • 3651c16b6c3077216f07219fdc79503f999c1a60a8552c58317520a15a7586d5
  • 369410a00ec51edbf8d3f30c895b7c31f88955a3cc0442c7ff043fc049efb0c2
  • 37885d585b468715c5f0fe50a680da176390064c8d0c6f36a880b8836510a24f
  • 3a86c1b256e89071984b8edfe1e8956546865db4a646b16a85f8fd81363f02f8
  • 3b01e134b1b88d33914bc02fd1dbf20193083e464a659ad7a3026075e6dc058d
  • 43c6aef23a90c742274d6db2148a5cb5027c82e94ba2db4ae4b4184956e370b5
  • 43cb03f8ec04adead217700808f116ffb872581a7b343fca8becedf67400834a
  • 4791d791affeda2c02122de107afb3bb9394c89869b2196a583693ebb609174d
  • 480e45969f51bd5ebcac743bc2ce0731e602beac8065872902dd4715b825cf88
  • 49088d480254791c2e8466738d984a5c9411f159e8cf4f5e5f2c696a54e248a8
  • 493d7776e36d172cf689ed4cae759a10b10a545297192690fa9fb240a813ad9c
  • 4d07236652dce7451ef14b1101172f4a041943fed087693477c538e0041040b0
  • 50ab947d4556ce41fcd02eeb5189616265d5135e266da28ff3f96b8ce0d76676
  • 50e977d55c56ebb2aa757a64901a89a4bdc2637e6aa2da0aafa6b436ab2093c0
  • 562b415c46e5607463d38711cfdd253558410610c6a14d4d0b685f356df865e6
  • 6eae5f256537af00c1f53ee711d0bdd9ff1e9ccf771234f74c9fc58bfb63c8fa
  • 70ed435b9f05d9f80eda155e87bd22709423e492ac485e0c1e057cc0706c7fd6
  • 71b3fe6294847652c62d9d3f53ba8b802c603a9a4c51ace644cc1152de28537b
  • 7af437fb6563f0b3fcb1b85d1b4174968c3d15476d994a9a3e3d19c6ca661fb8
  • 7e0b15139ba2d3c8a7954ab66ad90172ec7a1235f360cea538f04632d43d4fc1
  • 8209b64a1d6982efbe3ff4924e17a9b07db3d8f0d71f4c8eee2bc68f231dca23
  • 82b4c91f5efff6db70f9b9317e6a79a43705f0936ba28e819c5b64f902a04add
  • 8990cbb68b201ba882a87771f63f4dba38be1db0a8ddda70450c3616bdb8afd6
  • 90fad61307312b14eb86e5b64a516392a113ce08a0d30f7b5d402e3934375ec7
  • 92c4d7a9c487470147f19e631a52bdac93c0240bcedd5bf10e66813c1ce220f8
  • 950dcaef8b0226265e3e0281b079d4a870a73c13e76109be701032cd42b1a291
  • 970e56c2abce804b10ca85e5e767c2b97ea3340823ebcd69a5e9cbe9ca7d9b59
  • 99982c4ed7fcf0b7917f4ab47bab81444370868f7f60fe1a32ffc7871cb30c8a
  • 9c961940a28b17a7e2e6027ebe71a383340a9ba8cf0d6d4a5a2b5ddc0d410671
  • 9d0509d9fceb37430146d5b34645c62c5b87dd2cc0c7da6d64800ec3711f41ea
  • a565488462c379a6db5c28023ca52cecdd56887ec78059e7e24a5eadde8ed502
  • ac62397f364d83a8f9706ee6bb1db5b6f8d023f032a7f7f50778ca50aa5c702e
  • ad0edd2bac12a5710015b2c2e83e3416b38997c91edfe327344d1b56f6e9f035
  • ada91241f13e557ef7d88a33e293b62677d4445068c90fabd247eb8824d1d6a4
  • b155fbcc84d038e3c7d27b25a2c3e13f974c05ed9b9c4d370cc5099a3fee4e8a
  • b3324b629febeefb17201abb52bc66094b4ffb292f8aa3a549f39e7e11c63694
  • b8ffd72534056ea89bfd48cbe6efb0b4d627a6284a7b763fdb7dfd070c1049ba
  • bae24fba731771acb390f44117ae9c5878e34a47f0f4e44e8b89db3ecbd1b8ba
  • c0bd0231864779c6595c3eb81d7795e56e9222c99bcb3bb170c1e0ca87f1c519
  • c9b1665e58fe0bd5a47bac14d7f262fcb21a90775c97bd778288c21eaac7435b
  • ca44a12a109d4e755abe10941853e576322709f69f75ce7ce7c2cbbfd19f1676
  • ca95ceeb9c3cc95f71b0e1c133fee12e5030d21f141a1d4dc8c0c1804ae296c1
  • cd29a952a51204f2e8744271b822c277b63ad8a54e3a6422e342eb9c53df0bda
  • d0010996ee1ea4dc93d327eb3955cc1c8f56f7b9e7eea87206c25982fe7bbfe2
  • d1080a9f2b1de6d51ca8a73fa3471f7ed375425f8705bb531302382ff32e6041
  • d33aaec9d3ae5fc7165520c42d9284c26729ebf3f196498575fc85151e2b9e41
  • d7e8e14ddd625fe429209ee7058bf8c669bc71cf82b72fb344851baac30e1e69
  • d89731c02d302e51bc5fd4091070d7f3dd3c086a1ff111e53bfb7ab24ceea7a7
  • df87bd63cd337c1f25e82fb6a71f75a3ff279ac0dcb12f31d8972fa7c13c6334
  • e32437c4978ec158bcadef18829207caa7db36108d7813db2f0098cc003a1533
  • e370db365086148c530dd9f6c3a6abb9da04b031ab17811ecab732c1eb44e6f6
  • f0c572bdfdabfa8b229a171aba291fb96fb38f496c83d868c64acd5706ab7c19
  • f4b33470a9e638b3c6c79cff68bb5adfac299d9ab5d13a672a1c0e9e789b7107
  • fd7befc14e82c66206160728cc4d7874a05de89af52145171b57e404bbc71c3c

 

Комментарии: 0
Похожие записи
0
3 месяца
IOC

Использование NFCGate злоумышленниками для удаленного доступа и опустошения банковских счетов

security
Мобильное приложение NFCGate, изначально созданное студентами Технического университета Дармштадта в качестве учебного проекта в 2015 году, стало для злоумышленников мощным инструментом для удаленного
0
4 месяца
IOC

Masque Ransomware IOCs

ransomware
Masque ransomware - финансово мотивированной группировки, которая атакует российские компании с помощью программ-вымогателей LockBit 3 (Black) и Babuk (ESXi). Группа прямо указывает на свою финансовую
0
6 месяцев
IOC

Buhtrap RAT IOCs

remote access Trojan
После некоторого перерыва преступники, использующие троян Buhtrap, вновь начали проводить кампании, направленные на российских финансистов и юристов. Центр кибербезопасности F.
0
8 месяцев
IOC

OldGremlin APT IOCs

security
Группа разработчиков вымогательского ПО OldGremlin, известная своими атаками на российские компании в период с 2020 по 2022 год, вновь объявилась после периода бездействия.