Главная страница » IOC
0
2 года
IOC

Nitrogen Campaign IOCs

security

В середине июня компания Sophos X-Ops обнаружила ранее не зафиксированную кампанию по созданию вредоносных программ с первоначальным доступом, использующих вредоносную рекламу (malvertising) и выдающих себя за легитимное программное обеспечение для компрометации корпоративных сетей.

Эта кампания, которую в Sophos назвали Nitrogen на основании строк, обнаруженных в коде, представляет собой преимущественно оппортунистическую атаку, использующую рекламу Google и Bing для поиска пользователей, ищущих определенные ИТ-инструменты, с целью получения доступа к корпоративным средам для развертывания второго этапа атаки, такого как Cobalt Strike.

Indicators of Compromise

IPv4

  • 104.234.11.121
  • 104.234.11.236
  • 104.234.147.11
  • 141.98.6.95
  • 141.98.6.96
  • 146.70.87.4
  • 157.254.195.108
  • 157.254.195.210
  • 157.254.195.53
  • 157.254.195.83
  • 166.0.94.216
  • 167.88.164.130
  • 167.88.164.141
  • 167.88.164.95
  • 167.88.165.18
  • 172.86.123.127
  • 185.246.222.15
  • 185.254.37.216
  • 185.254.37.217
  • 23.227.196.140
  • 23.227.203.241
  • 45.12.253.137
  • 45.61.128.133
  • 45.66.230.215
  • 45.66.230.216
  • 45.66.230.237
  • 45.66.230.238
  • 45.81.39.175
  • 45.81.39.177
  • 74.201.28.103
  • 85.208.136.13
  • 85.217.144.164
  • 87.121.221.218
  • 95.214.24.163

URLs

  • https://conteudos.doutornature.com/wp-content/upt/upgrade/scp/v7/WinSCP-6.1-Setup.iso
  • https://dayvisson.com/Cisco-Mobility-Client-v4.iso
  • https://dayvisson.com/WinSCPSetup.iso
  • https://events.drdivyaclinic.com/wp-content/task/update/WinSCP-6.1-Setup.iso
  • https://frugalprinters.com/wp-includes/WinSCP_setup.iso
  • https://praybig.us/wp-content/smb/srs/24/5333/WinSCP-6.1-Setup.iso
  • https://protemaq.com/wp-content/update/iso/6.1/tusto/WinSCP-6.1-Setup.iso
  • https://snbl-art.com/wp-content/wp-content/WinSCPSetup.iso
  • https://softwareinteractivo.com/streamlining-team-collaboration-the-power-of-for-seamless-file-sharing/?gclid=EAIaIQobChMI3aXW7fjA_wIViN3ICh1NKQW6EAAYASAAEgLEZfD_BwE
  • https://theboxingshowcase.com/wp-content/dht/asxdfj/gkgy/cvgkjc/WinSCP-6.1-Setup.iso
  • https://theboxingshowcase.com/wp-content/sdrg/sdhr/dftjft/zsge/TreeSizeFreeSetup.iso
  • https://trafcon.co/wp-content/plug/des/sus/cisco/anyconnect/cisco-anyconnect-4.iso
  • https://usahamenarik.com/wp-content/WinSCPSetup.iso
  • https://winsccp.com/eng/download.php
  • https://winsccp.com/HPVrxkWv?gclid=EAIaIQobChMI3aXW7fjA_wIViN3ICh1NKQW6EAAYASAAEgLEZfD_BwE
  • https://www.yb-lawyers.com/wp-content/ter/anyconnect/AnyDesk.iso

SHA256

  • 0af013ad0548b992d50287e3b11963cad9aa0af1f1e47e254637d28ee05208d8
  • 0daf5c0f374e9a03fbe24dbcb4f0a24837a35bc2f0ca76ca35bb705f8c079486
  • 13090722ba985bafcccfb83795ee19fd4ab9490af1368f0e7ea5565315c067fe
  • 150f3356485c26039dc145d0bedda265d3e9626fd1f3a180455f8b911c53c260
  • 17c1a8ee6fd18c7a75270c31b6602c12592242affdd6608f5297a8bb88376923
  • 21e7bcc03c607e69740a99d0e9ae8223486c73af50f4c399c8d30cce4d41e839
  • 237c18bbd8fb8f74710dacaf7795c473a988b66fce667facc6f17b2c6e071745
  • 25467df66778077cc387f4004f25aa20b1f9caec2e73b9928ec4fe57b6a2f63c
  • 26a68bfc0d40b3cc49af1958f2004f404c960663b140fd612a2a53ccaf99f004
  • 2eb2ef7a562145a0faf3c82f439221908adfcc784022a64e5bb17a432f4a8a91
  • 2f4f365613172848df3e91d43514b9da34b8c84eded8fae683f94586d22f86cf
  • 332e19cc0f71a5dcbfc3d24fb08564589d0cb884d21d1fddbbf9c0230d678ec0
  • 3346a4f9f253a8251e14f0d42138e5b4420dd3c1b46afcd9f688d4e26c98c561
  • 35c33e9e84e9e040da42b3d6e9c3c00e8f0dff2e7ee8bb59625c7378d89f3b37
  • 3ce4ed3c7bd97b84045bdcfc84d3772b4c3a29392a9a2eee9cc17d8a5e5403ce
  • 4a4d20d107ee8e23ce1ebe387854a4bfe766fc99f359ed18b71d3e01cb158f4a
  • 4fb70092d8533088742ca23788f29e0802b223eada1748ce82731162d25920c7
  • 503156f1b27d4dd463048f85924a2bbbeb3d0e09de2574395a51f77b48e9639d
  • 535aefaba2eb8d7898b176b0dcdd23fcef984994e609db222c33ece2d1c081b3
  • 5f3488fc958b98867ef661c6697b5c2cd920199f7209086591a5e87e691891f4
  • 61927228b3dcf973822eb5fff44ca7940d950af7116aefe957cc31287c5283d5
  • 62b1e355a7e4c850bb0f03c7f182f48f0ebaafa07ddae1fee599a78772d149f2
  • 686c7fc9d3efef602136cde2716d20ca13d1e3de3c57f787fa74e28cc8b743cd
  • 6c340981785e28218f7ef5ee991e1888fadce9a3c29bc31316359562386124bd
  • 6ff18598dbf26038faa16773f277808cd9d39710ec6c9ec6109fec8550d1d53f
  • 76eed6472d3ab97d3e69328cea84e6aa322791f5d3cc74007b929842c425820d
  • 771f95a8df4b7fb058712e43bbf2549a97075518523f0cc409f3869181457b86
  • 8000af302ad89c9555241366edc65b9b9b24828c8ea74bde658984b92e8c8ec6
  • 81570ac9bdd4e1abf7b296b528c7507e7df773a7c3cf05ef01a874ba9af1b36f
  • 8859a09fdc94d7048289d2481ede4c98dc342c0a0629cbcef2b91af32d52acb5
  • 8c6352fc4fdaf2990f48e44ce1dce9ed375cdb75222f3dc2fc3b061d5bfa6acf
  • 8dfac6521ef877efede0a82bf46d94f590127e2607b78d08321953796fddbba9
  • 8f02fa20b02ff6321a7db6dae478c2215bb463ebec6de4db73f247873aca1315
  • 971b4db8b81a2c456839d4609364bb6cd7800c9ce980379bb5a11d1d4689d504
  • 9a00b8b62d5194f22f690127084f626b1abbf88777b5b8474799bca1576e5fbd
  • 9c57a2a27b6fcea5bcf1eda791ccdaa0eb3fdbf93781b37283d956332f4d2ceb
  • 9c66003fe79d9bc9570373c465e69dd5db56f24c51ad4bb16c83efde5b966510
  • a25eba7a79e46e5f6498ccb82fb4ef0eb3abe784fa0d061fe9e1adce9d39caa7
  • a25f3604213a0db2375ddc2af800faa3833dc5597ca20b3138462c1d77faf952
  • a267937e172f4cd8ce873e4fcfceeddf07ae03db68f64e047f940e2e7a2a136a
  • a58b9c9cece44216e2dd3304fd4825db3c324393607574f87bec00be505a0d93
  • a8b9b74dee76ea6a19845b80498d91e002133d20741b6707744fb345a3581abe
  • a9fc36389bd687b547c9fbadaf75f1d27036c08385f4976acb8689ad79d83310
  • ac5b9d33791a80387e99ddc1cb63346f975982741c6275be7ff03ce4b0459b4f
  • ad3feb1cee5750d9acd0119fbfa6af56c07e9387d3ed24633afa48b2d031aaf3
  • ae84d0d6b9935499a5e0e18052ce7ea64378eba1e9579ca98fdd925d8e6f8639
  • b39c5fb42f54275630c05925a1c8f0d92373560b4a735b8d9a63e6498b25ecfb
  • b425de9b0e7fe10b89b730339bbcda2d0d4668f5b9226be633409cfb89b3dacd
  • b926fcc98f23905abd76b7ed9fa50fb84cc66aa9fb7994064ada715702e80722
  • bacbe893b668a63490d2ad045a69b66c96dcacb500803c68a9de6cca944affef
  • bf062d03ab77bfa835700f7131e6f95f19e2c5015ff65e47614b736ea9817dd6
  • c7a5a4fb4f680974f3334f14e0349522502b9d5018ec9be42beec5fa8c1597fe
  • ccd5e869216640460c3329e41ec30fa22ee729f0b4fc2e61781026c4defea6e6
  • d155d0af73b3e86f42672714caa4391ab615c426a3e3fc44a41e4d125a06172a
  • d9d53fcadc96c7bc3eae0a84a574b6222f0c906ee4916a9e68e0322b5c694d49
  • db2a48326f99f0944f50800539817cfb6562f2bfbbcc2f2409901319eb3592ec
  • e47151f7c394e1b530314cc15d482b5ce797c803c251a61e45efb0316115c677
  • e74c4cf311f2b3365605b6648d96baf5674990c3f181f01f462e1ba665bf1f7f
  • f1227c5124e24e439b44083369d7fa7a719e076f5839629d2ef10aa5e19e6afc
  • f87a976dfd3881f59dbd2ea53fbfa3a663e1fff83a333b548b4fdc4651d5b8f7
  • fa6f641d78dcb36f15ea26b0a05a8a29b9761c7838c30a9b3bb09074bb4fc7c9
  • fa911a3639ae77f8f890fb76ba1ab78c2ab17ab80bdfec381ab6a9ba8fef32fe
  • fce4ca6e37d466154ed49871ac31116473b1c72cf36a9653af80e9cc83edb358
  • ff32997b85098d2bb0f1adccc5dc4e608a869dd54fc8539482788855d53d43b7
Комментарии: 0
Похожие записи
0
2 дня
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
1
7 дней
IOC

PJobRAT снова атакует чат-приложения

remote access Trojan
RAT-троян PJobRAT, предназначенный для андроид-устройств, был впервые обнаружен в 2019 году и нацелен на индийских военнослужащих. Недавно исследователи Sophos X-Ops обнаружили новую кампанию, нацеленную на пользователей из Тайваня.
0
16 дней
IOC

Обнаружена массовая эксплуатация критической уязвимости PHP-CGI по всему миру

security
Злоумышленники устанавливают маяки Cobalt Strike и используют инструмент TaoWu для постэксплуатационных действий. Атака распространена в регионах, таких как США, Сингапур, Индонезия, Великобритания, Испания и Индия.
0
21 день
IOC

Члены Black Basta (RaaS) использовали автоматизированную систему грубого форсирования, чтобы атаковать пограничные сетевые устройства

security
11 февраля 2025 года русскоязычный актер, использующий Telegram-аккаунт @ExploitWhispers, опубликовал в сети журналы внутренних чатов группы Black Basta Ransomware-as-a-Service (RaaS).