Исследователи из компании Palo Alto Networks обнаружили четыре ранее не публиковавшиеся кампании DNS-туннелирования, получившие названия FinHealthXDS, RussianSite, 8NS и NSfinder.
Первая кампания, FinHealthXDS, нацелена на финансовую и медицинскую отрасли и включает 12 доменов, использующих специализированный формат DNS-маяков для C2-коммуникаций Cobalt Strike, обозначаемый трехбуквенным префиксом. Вторая кампания, RussianSite, включает в себя более 100 доменов с общим IP-адресом сервера имен из России, воздействуя на высшие учебные заведения, государственные учреждения и медицинские организации.
Третья кампания, 8NS, включает шесть доменов с восемью NS-записями каждый. В этой кампании используется вредоносное ПО, в том числе из семейства Hiloti, для использования DNS-запросов в целях C2-коммуникации. Наконец, кампания NSfinder состоит из более чем 50 доменов и заманивает жертв на сайты для взрослых с целью кражи информации о кредитных картах. Эта кампания связана с такими троянцами, как IcedID и RedLine stealer, и затронула жертв в секторах высоких технологий, образования и производства.
Indicators of Compromise
IPv4
- 185.161.248.253
- 185.176.220.212
- 185.176.220.80
- 88.119.169.205
Domains
- avtomaty-bcg.online
- codeaddon.net
- dreyzek.com
- dtodcart.site
- foxxbank.com
- healthproreview.com
- juicyplaymatesfinder.com
- lifemedicalplus.net
- linkwide.site
- lustypartnersfinder.com
- mouvobo.site
- mponiem.site
- ns2000wip.com
- piquantchicksfinder.com
- pretorya.site
- sosua.cz
- unlimitedpartnersfinder.com
- yummyflingsfinder.com
- yummyloversfinder.com
- zzczloh.site
SHA256
- 0b99db286f3708fedf7e2bb8f24df1af13811fe46b017b6c3e7e002852479430
- c22d25107e48962b162c935a712240c0a4486b38891855f0e53d5eb972406782
- c3a29c2457f33e54298a1c72a967aa161a96b0ae62ffbefe9e5e1c2057d7f3f4
- dfb3e5f557a17c8cdebdb5b371cf38c5a7ab491b2aeaad6b4e76459a05b44f28
