Аналитический центр AhnLab SEcurity Intelligence Center (ASEC) недавно обнаружил, что угрожающий агент CoinMiner по имени Mimo использует различные уязвимости для установки вредоносного ПО. Mimo, также известный как Hezb, был впервые обнаружен, когда он установил CoinMiners через эксплуатацию уязвимости Log4Shell в марте 2022 года.
До сих пор все случаи атак были связаны с установкой XMRig CoinMiner под названием Mimo Miner Bot на финальной стадии. Однако были и другие случаи, когда один и тот же участник атаки помимо майнера Mimo устанавливал Mimus ransomware, proxyware и reverse shell malware.
Indicators of Compromise
IPv4 Port Combinations
- 102.130.112.157:3232
URLs
- http://102.130.112.157/7za.exe
- http://102.130.112.157/dom.zip
- http://102.130.112.157/dom-6.zip
- http://102.130.112.157/kill.bat
- http://102.130.112.157/ln.bat
- http://102.130.112.157/lnl.bat
- http://102.130.112.157/mad.bat
- http://102.130.112.157/poc-win.xml
- http://50.19.48.59:82/kill.bat
- http://50.19.48.59:82/lol.exe
- http://50.19.48.59:82/mazar.zip
- http://50.19.48.59:82/me.bat
- http://50.19.48.59:82/me1.bat
- http://50.19.48.59:82/me2.bat
- http://50.19.48.59:82/prx.bat
- http://windows.n1tro.cyou:4544
MD5
- 1136efb1a46d1f2d508162387f30dc4d
- 3edcde37dcecb1b5a70b727ea36521de
- 52cef8752f2c0f9a5383d2aecbdccc6f
- 5d32f0eee7adf20e0766d5481a1953a5
- 5e0f18dfe16f274d34716d011e0a3f39
- 618680a68eb6ac79f530a0291ad29d9f
- 61def7b3b98458a40fffa42a19ddf258
- 77c2cb38dbcc944c010deda3024bb804
- 78c0c7648854d61da3bfba08dc11ffd6
- 7ef97450e84211f9f35d45e1e6ae1481
- 958dd3e767b32a28c199d59ce01ffb6c
- a2cf452cb27ff2970e3248a9793de326
- a3ffb336aee9f01275c92ac529c8f70e
- b206cf6652a2d8279e7ca32f3127aeed
- bfa626e053028f9adbfaceb5d56086c3
- c25972604121f4c6a7f8025e4e575c7c
- c9450a531ea62c6b9f7db0d5c7cae5a5
- dd6931fda2df843249a5df40b8808387
