Главная страница » Индикаторы компрометации
0
3 года
Индикаторы компрометации

PingPull Trojan IOCs

remote access Trojan

Palo Alto Unit 42 недавно обнаружило новый, трудно обнаруживаемый троян удаленного доступа под названием PingPull, используемый группой GALLIUM.

PingPull Trojan

PingPull способен использовать три протокола (ICMP, HTTP(S) и необработанный TCP) для командования и управления (C2). Хотя использование ICMP-туннелирования не является новой техникой, PingPull использует ICMP, чтобы усложнить обнаружение своих C2-коммуникаций, поскольку немногие организации применяют проверку ICMP-трафика в своих сетях.

PingPull был написан на Visual C++ и предоставляет возможность запускать команды и получать доступ к обратному командному интерпретатору на скомпрометированном узле. Существует три варианта PingPull, которые функционально одинаковы, но используют различные протоколы для связи со своим C2: ICMP, HTTP(S) и необработанный TCP. В каждом из вариантов PingPull создает пользовательскую строку со следующей структурой, которую он отправляет на C2 во всех взаимодействиях, и которую, как мы полагаем, сервер C2 будет использовать для уникальной идентификации взломанной системы:

Независимо от варианта, PingPull способен установить себя в качестве службы со следующим описанием:

Обеспечивает туннельное соединение с использованием технологий перехода на IPv6 (6to4, ISATAP, Port Proxy и Teredo), а также IP-HTTPS. Если эта служба остановлена, компьютер не будет иметь расширенных преимуществ подключения, которые обеспечивают эти технологии.

Описание полностью совпадает с описанием легитимной службы iphlpsvc, которую PingPull намеренно пытается имитировать, используя Iph1psvc для имени службы и IP He1per вместо IP Helper для отображения имени. Мы также видели образец PingPull, использующий такое же описание службы, но с именем службы Onedrive.

Три варианта PingPull имеют одинаковые команды, доступные в обработчиках команд. Команды, приведенные в таблице 1, показывают, что PingPull способен выполнять различные действия в файловой системе, а также выполнять команды cmd.exe, который действует как обратная оболочка для агента.

Indicators of Compromise

IPv4

  • 101.36.102.34
  • 101.36.102.93
  • 101.36.114.167
  • 101.36.123.191
  • 103.116.47.65
  • 103.123.134.139
  • 103.123.134.145
  • 103.123.134.161
  • 103.123.134.165
  • 103.123.134.240
  • 103.137.185.249
  • 103.169.91.93
  • 103.169.91.94
  • 103.170.132.199
  • 103.179.188.93
  • 103.192.226.43
  • 103.22.183.131
  • 103.22.183.138
  • 103.22.183.141
  • 103.22.183.146
  • 103.51.145.143
  • 103.61.139.71
  • 103.61.139.72
  • 103.61.139.74
  • 103.61.139.75
  • 103.61.139.78
  • 103.61.139.79
  • 103.78.242.62
  • 103.85.24.121
  • 103.85.24.81
  • 107.150.110.233
  • 107.150.112.211
  • 107.150.127.124
  • 107.150.127.140
  • 118.193.56.130
  • 118.193.56.131
  • 118.193.62.232
  • 123.58.196.208
  • 123.58.198.205
  • 123.58.203.19
  • 128.14.232.56
  • 137.220.55.38
  • 146.185.218.176
  • 146.185.218.65
  • 152.32.165.70
  • 152.32.203.199
  • 152.32.221.222
  • 152.32.221.242
  • 152.32.245.157
  • 152.32.255.145
  • 154.222.238.50
  • 154.222.238.51
  • 165.154.52.41
  • 165.154.70.51
  • 165.154.70.62
  • 167.88.182.107
  • 167.88.182.166
  • 176.113.68.12
  • 176.113.71.168
  • 176.113.71.62
  • 185.101.139.176
  • 185.239.226.203
  • 185.239.227.12
  • 185.239.227.34
  • 188.241.250.152
  • 188.241.250.153
  • 193.187.117.144
  • 194.29.100.173
  • 196.46.190.27
  • 2.58.242.229
  • 2.58.242.230
  • 2.58.242.231
  • 2.58.242.232
  • 2.58.242.235
  • 2.58.242.236
  • 202.87.223.27
  • 212.115.54.241
  • 212.115.54.54
  • 37.61.229.104
  • 37.61.229.106
  • 43.254.218.104
  • 43.254.218.114
  • 43.254.218.43
  • 43.254.218.57
  • 43.254.218.98
  • 45.116.13.153
  • 45.121.50.230
  • 45.128.221.169
  • 45.128.221.172
  • 45.128.221.182
  • 45.128.221.186
  • 45.128.221.229
  • 45.128.221.61
  • 45.128.221.66
  • 45.133.238.234
  • 45.134.169.147
  • 45.136.187.41
  • 45.136.187.98
  • 45.14.66.230
  • 45.154.14.132
  • 45.154.14.164
  • 45.154.14.188
  • 45.154.14.191
  • 45.154.14.254
  • 45.251.241.74
  • 45.251.241.82
  • 45.76.113.163
  • 47.254.192.79
  • 47.254.250.117
  • 5.181.25.55
  • 5.188.33.237
  • 5.8.71.97
  • 79.133.124.88
  • 81.28.13.48
  • 89.43.107.190
  • 89.43.107.191
  • 92.223.30.232
  • 92.223.30.52
  • 92.223.59.84
  • 92.223.90.174
  • 92.223.93.148
  • 92.223.93.222
  • 92.38.135.62
  • 92.38.139.170
  • 92.38.149.101
  • 92.38.149.241
  • 92.38.149.88
  • 92.38.171.127
  • 92.38.176.47

Domains

  • df.micfkbeljacob.com
  • goodjob36.publicvm.com
  • goodluck23.jp.us
  • helpinfo.publicvm.com
  • hinitial.com
  • jack.micfkbeljacob.com
  • mailedc.publicvm.com
  • micfkbeljacob.com
  • t1.hinitial.com
  • v2.hinitial.com
  • v3.hinitial.com
  • v4.hinitial.com
  • v5.hinitial.com

SHA256

  • 8b664300fff1238d6c741ac17294d714098c5653c3ef992907fc498655ff7c20
  • b4aabfb8f0327370ce80970c357b84782eaf0aabfc70f5e7340746f25252d541
  • c55ab8fdd060fb532c599ee6647d1d7b52a013e4d8d3223b361db86c1f43e845
  • de14f22c88e552b61c62ab28d27a617fb8c0737350ca7c631de5680850282761
  • f86ebeb6b3c7f12ae98fe278df707d9ebdc17b19be0c773309f9af599243d0a3
  • fc2147ddd8613f08dd833b6966891de9e5309587a61e4b35408d56f43e72697e
Комментарии: 0
Похожие записи
0
29.01.2025
Индикаторы компрометации

Фишинговая кампания заманивает на крючок с помощью вредоносных PDF-файлов Amazon

phishing
Исследователи обнаружили новую тактику фишинга, заключающуюся в использовании PDF-документов, чтобы обмануть пользователей, уведомляя их о истечении срока действия программы Amazon Prime.
0
03.05.2024
Индикаторы компрометации

Zloader Trojan IOCs - Part 4

remote access Trojan
Zloader, также известный как Terdot, DELoader или Silent Night, является модульным трояном, основанным на утечке исходного кода Zeus. Он был впервые обнаружен в 2016 году, когда была замечена целевая кампания против немецких банков.