Главная страница » IOC
0
4 месяца
IOC

Ngioweb Botnet IOCs - Part 2

botnet

Команда Black Lotus Labs из Lumen Technologies расширила известную архитектуру ботнета "ngioweb" и обнаружила, что он используется для создания криминального прокси-сервиса NSOCKS. NSOCKS - один из самых используемых прокси-сервисов киберпреступниками и поддерживает более 35 000 ботов в 180 странах. Большинство этих ботов происходят из ботнета "ngioweb", который использует маршрутизаторы и IoT-устройства SOHO. Большинство прокси-серверов NSOCKS находятся в США.

Water Barghest APT IOCs

Ngioweb Botnet

Команда Black Lotus Labs отследила активные и исторические командно-контрольные узлы, используемые в сети NSOCKS. Эти узлы используются для проксирования и маскировки онлайн-активности пользователей NSOCKS. NSOCKS не только предоставляет преступникам возможность передавать вредоносный трафик, но и позволяет проводить мощные DDoS-атаки. Lumen Technologies заблокировала трафик, связанный с ботнетом "ngioweb" и публикует индикаторы компрометации, чтобы помочь другим организациям обнаружить и защититься от этой угрозы.

Прокси-ботнеты, такие как NSOCKS, играют важную роль в преступных бизнес-моделях, обеспечивая анонимность и маскировку онлайн-активности. Они позволяют преступникам скрывать свою идентичность и участвовать в различных видам вредоносной деятельности, включая маскировку трафика вредоносного ПО и проведение фишинговых атак.

Ботнет "ngioweb" состоит из двух элементов: сети загрузчика и командно-контрольных узлов (C2). Загрузчик направляет бота к узлу загрузчика-C2, который содержит вредоносное ПО ngioweb. Загрузчик использует различные эксплойты для получения доступа к жертве и загрузки вредоносного ПО. Затем жертва обращается к доменам C2, созданным с помощью алгоритма генерации доменов. Эти командно-контрольные узлы определяют, стоит ли добавлять бота в прокси-сеть.

Black Lotus Labs отслеживает узлы загрузчика и домены C2 ботнета "ngioweb". Они обнаружили, что C2-узел на адресе 103.172.92.148 контролирует большую часть загрузчиков. Домены C2 используют алгоритм генерации доменов и обычно находятся в активном состоянии около 15 доменов.

Обнаружение и исследование ботнета "ngioweb" и его использование для создания прокси-сервиса NSOCKS является важным шагом в борьбе с киберпреступностью. Lumen Technologies выражает благодарность своим партнерам из Shadowserver, Spur и другим компаниям за их вклад в борьбу с этой угрозой.

Indicators of Compromise

IPV4

  • 103.172.92.148
  • 103.244.227.46
  • 107.175.229.142
  • 108.181.132.115
  • 108.181.132.116
  • 108.181.132.117
  • 108.181.132.118
  • 108.181.133.58
  • 108.181.133.59
  • 138.201.21.218
  • 138.201.21.227
  • 138.201.21.228
  • 138.201.21.232
  • 138.201.21.233
  • 138.201.21.238
  • 141.94.238.246
  • 141.98.82.229
  • 144.172.111.24
  • 144.172.122.12
  • 144.172.76.24
  • 144.172.86.16
  • 144.76.167.18
  • 144.76.167.23
  • 144.76.167.25
  • 144.76.167.26
  • 144.76.167.34
  • 144.76.167.37
  • 154.7.253.113
  • 161.129.66.138
  • 161.129.66.139
  • 161.129.66.140
  • 161.129.66.141
  • 162.0.220.161
  • 162.0.220.214
  • 162.0.220.215
  • 162.0.220.216
  • 162.0.220.217
  • 162.0.220.218
  • 162.0.220.219
  • 162.0.220.220
  • 162.19.7.46
  • 162.19.7.47
  • 162.19.7.48
  • 162.19.7.49
  • 162.19.7.50
  • 162.19.7.53
  • 162.19.7.56
  • 162.19.7.57
  • 162.19.7.58
  • 162.19.7.59
  • 162.19.7.60
  • 162.19.7.61
  • 162.210.192.135
  • 162.210.192.136
  • 162.210.192.171
  • 162.210.197.69
  • 162.210.197.91
  • 162.245.185.35
  • 162.245.185.36
  • 162.245.185.37
  • 162.245.185.38
  • 167.88.166.112
  • 167.88.168.2
  • 172.86.96.114
  • 173.211.70.205
  • 173.244.208.72
  • 173.244.208.73
  • 173.244.208.76
  • 173.244.208.78
  • 173.244.208.80
  • 173.244.208.81
  • 173.244.208.83
  • 173.244.208.84
  • 174.138.176.74
  • 174.138.176.75
  • 174.138.176.76
  • 174.138.176.77
  • 174.138.176.78
  • 179.60.147.86
  • 185.117.75.18
  • 185.25.50.100
  • 185.45.195.140
  • 192.3.179.139
  • 193.42.36.208
  • 195.154.43.182
  • 195.154.43.184
  • 195.154.43.189
  • 195.154.43.198
  • 195.154.43.221
  • 195.154.43.86
  • 198.7.56.71
  • 198.7.56.72
  • 198.7.56.73
  • 198.7.56.74
  • 198.7.61.67
  • 198.7.61.72
  • 207.189.164.106
  • 209.159.153.19
  • 209.159.153.20
  • 209.159.153.21
  • 209.159.153.22
  • 212.83.137.142
  • 212.83.137.150
  • 212.83.137.165
  • 212.83.137.239
  • 212.83.137.30
  • 212.83.137.94
  • 212.83.138.132
  • 212.83.138.172
  • 212.83.138.186
  • 212.83.138.192
  • 212.83.138.245
  • 212.83.138.60
  • 212.83.142.100
  • 212.83.142.114
  • 212.83.142.131
  • 212.83.142.145
  • 212.83.142.149
  • 212.83.142.158
  • 212.83.143.103
  • 212.83.143.118
  • 212.83.143.147
  • 212.83.143.151
  • 212.83.143.159
  • 212.83.143.191
  • 212.83.143.204
  • 212.83.143.211
  • 212.83.143.223
  • 212.83.143.49
  • 212.83.143.60
  • 212.83.143.97
  • 212.83.165.102
  • 212.83.165.109
  • 212.83.165.136
  • 212.83.165.199
  • 212.83.165.43
  • 213.252.244.213
  • 216.107.139.52
  • 23.105.170.30
  • 23.105.170.32
  • 23.105.170.33
  • 23.105.170.34
  • 23.105.170.35
  • 37.122.148.5
  • 37.59.213.49
  • 38.91.106.214
  • 38.91.106.252
  • 38.91.107.2
  • 38.91.107.220
  • 38.91.107.224
  • 38.91.107.229
  • 45.227.252.245
  • 45.61.141.192
  • 46.105.44.29
  • 46.246.96.40
  • 46.249.35.171
  • 46.249.38.69
  • 5.181.86.231
  • 5.9.43.105
  • 5.9.43.85
  • 5.9.43.88
  • 5.9.43.90
  • 5.9.43.92
  • 5.9.43.93
  • 51.254.149.59
  • 51.254.167.45
  • 51.68.244.19
  • 51.83.116.2
  • 51.83.116.3
  • 51.83.116.4
  • 51.83.116.5
  • 51.83.116.6
  • 51.83.116.7
  • 66.23.233.210
  • 66.29.128.241
  • 66.29.128.242
  • 66.29.128.243
  • 66.29.128.244
  • 66.29.128.245
  • 66.29.128.246
  • 66.29.129.52
  • 66.29.129.53
  • 66.29.129.54
  • 66.29.129.56
  • 67.211.211.114
  • 67.211.211.115
  • 67.211.211.116
  • 67.211.211.117
  • 67.213.210.115
  • 67.213.210.118
  • 67.213.210.167
  • 67.213.210.168
  • 67.213.210.175
  • 67.213.210.60
  • 67.213.210.61
  • 67.213.210.62
  • 67.213.212.36
  • 67.213.212.38
  • 67.213.212.39
  • 67.213.212.40
  • 67.213.212.47
  • 67.213.212.48
  • 67.213.212.49
  • 67.213.212.50
  • 67.213.212.51
  • 67.213.212.52
  • 67.213.212.53
  • 67.213.212.54
  • 67.213.212.55
  • 67.213.212.56
  • 67.213.212.57
  • 67.213.212.58
  • 77.83.198.174
  • 77.83.199.142
  • 79.141.162.154
  • 85.206.172.132
  • 87.98.130.137
  • 91.227.77.217
  • 95.169.180.227

Domains

  • antigutation.info
  • antihicipate.com
  • disimunous.com
  • dnslookips.com
  • emelenalike.com
  • exagenafy.com
  • inofokable.net
  • inoluvary.com
  • interocakate.com
  • ipscoredns.com
  • minixetepate.biz
  • misukumotist.info
  • nslookups.com
  • overedaxive-nonameraness.net
  • overuvezor.com
  • prekudinish.com
  • promexucate.com
  • recepatission.info
  • remalexation.name
  • subonuker.name
  • ultradomafy.net
  • underuvukent.com
Комментарии: 0
Похожие записи
0
3 часа
IOC

Ballista - новый IoT-ботнет, нацеленный на тысячи маршрутизаторов TP-Link Archer

botnet
В течение последних нескольких лет крупные IoT-ботнеты, такие как Mirai и Mozi, показали, насколько легко эксплуатировать маршрутизаторы. Изначально уязвимости редко обновляются, а производители маршрутизаторов