Главная страница » IOC
0
2 года
IOC

Qakbot Trojan IOCs - Part 44

remote access Trojan

Каждый год летом Qakbot уходит на длительный перерыв, а затем возвращается в сентябре. В этом году рассылка спама прекратится примерно 22 июня 2023 года.

  • Активность C2 в отношении как жертвы, так и восходящего потока T2 замедлилась до прекращения рассылки спама около 22 июня. После прекращения рассылки спама активность С2 продолжалась, хотя и в меньшем объеме.
  • К настоящему времени выявлено 15 новых C2, созданных после прекращения рассылки спама. Кроме того, количество существующих C2, взаимодействующих с уровнем T2, значительно сократилось: после 22 июня их осталось всего 8.
  • Team Cymru наблюдали интересную исходящую активность с уровня T2, направленную как на публично заявленные и подозреваемые C2 Qakbot, так и на другие неопределенные направления.
  • T2 C2 подключаются к тому же списку портов, который используется в процессе развертывания прокси-модуля Qakbot, причем обычно за день наблюдается только один или два порта.
  • Хотя объем подключений, разнообразие направлений и использование портов кажутся случайными, со временем порты назначения используются с относительно одинаковой частотой.
  • В первой половине 2023 года порт 443 был назначен примерно 48% C2, извлеченных из кампаний Qakbot. Среди этих C2 только часть взаимодействовала с уровнем T2. В этом подмножестве 80% назначен порт 443, что делает его доминирующим портом для связи между жертвами и C2.
  • C2 обычно являются скомпрометированными узлами в пространстве жилых IP-адресов, как и другие целевые IP-адреса, идентифицированные по исходящим T2-соединениям.
  • Дополнительные критерии, такие как геолокация и организация AS, могут влиять на выбор этих хостов, определяя их покупку у третьих лиц и определяя, какие жертвы Qakbot становятся ботами C2 или используются для другой операторской деятельности.

Indicators of Compromise

IPv4

  • 102.130.200.134
  • 103.107.36.56
  • 103.11.80.148
  • 103.111.70.115
  • 103.111.70.66
  • 103.113.68.33
  • 103.12.133.134
  • 103.123.221.16
  • 103.123.223.121
  • 103.123.223.124
  • 103.123.223.125
  • 103.123.223.130
  • 103.123.223.131
  • 103.123.223.132
  • 103.123.223.133
  • 103.123.223.141
  • 103.123.223.144
  • 103.123.223.153
  • 103.123.223.168
  • 103.123.223.171
  • 103.123.223.76
  • 103.134.117.111
  • 103.176.239.98
  • 103.195.16.175
  • 103.204.192.220
  • 103.211.63.108
  • 103.212.19.254
  • 103.221.68.250
  • 103.231.216.238
  • 103.252.7.228
  • 103.252.7.231
  • 103.252.7.238
  • 103.42.86.110
  • 103.42.86.238
  • 103.42.86.246
  • 103.42.86.42
  • 103.71.20.249
  • 103.71.21.107
  • 103.87.128.228
  • 109.49.47.10
  • 113.11.92.30
  • 113.193.166.238
  • 113.193.95.44
  • 114.143.176.234
  • 114.143.176.235
  • 114.143.176.236
  • 114.143.176.237
  • 117.248.109.38
  • 119.82.120.15
  • 119.82.120.175
  • 119.82.121.251
  • 119.82.121.87
  • 119.82.122.226
  • 119.82.123.160
  • 125.63.121.38
  • 138.197.95.196
  • 138.68.166.127
  • 157.119.85.203
  • 174.171.10.179
  • 174.171.129.247
  • 174.171.130.96
  • 174.58.146.57
  • 175.100.177.171
  • 180.151.104.240
  • 180.151.107.118
  • 180.151.108.14
  • 180.151.118.243
  • 180.151.13.23
  • 180.151.16.132
  • 180.151.18.235
  • 180.151.19.13
  • 183.82.107.190
  • 183.82.112.209
  • 183.82.122.136
  • 183.87.163.165
  • 183.87.192.196
  • 187.199.135.157
  • 187.211.104.152
  • 187.211.105.137
  • 188.127.231.177
  • 189.151.95.176
  • 189.248.64.238
  • 195.146.105.72
  • 197.148.17.17
  • 197.83.246.187
  • 197.83.246.199
  • 197.86.195.132
  • 197.87.135.186
  • 197.87.135.218
  • 197.87.143.152
  • 197.87.143.229
  • 197.87.63.16
  • 197.89.10.173
  • 197.90.177.242
  • 197.92.131.106
  • 197.92.136.122
  • 197.92.136.237
  • 197.92.141.173
  • 197.94.78.32
  • 197.94.95.20
  • 200.8.245.72
  • 201.130.116.138
  • 201.130.119.176
  • 201.130.167.212
  • 201.142.195.172
  • 201.142.197.29
  • 201.142.207.183
  • 201.142.213.13
  • 202.142.98.62
  • 203.109.44.236
  • 23.30.173.133
  • 23.30.22.225
  • 23.30.22.230
  • 24.9.220.167
  • 27.0.48.205
  • 27.0.48.233
  • 27.109.19.90
  • 43.243.215.206
  • 43.243.215.210
  • 49.248.11.251
  • 50.248.58.241
  • 59.153.96.4
  • 62.204.41.187
  • 62.204.41.188
  • 64.237.188.252
  • 64.237.207.9
  • 64.237.212.162
  • 64.237.213.86
  • 64.237.221.254
  • 64.237.245.195
  • 64.237.251.199
  • 67.177.41.245
  • 67.177.42.38
  • 67.187.130.101
  • 68.59.64.105
  • 68.62.199.70
  • 69.242.31.249
  • 69.255.128.224
  • 73.0.34.177
  • 73.1.85.92
  • 73.127.53.140
  • 73.14.226.243
  • 73.155.10.79
  • 73.161.176.218
  • 73.161.178.173
  • 73.165.119.20
  • 73.197.85.237
  • 73.207.160.219
  • 73.215.22.78
  • 73.22.121.210
  • 73.223.248.31
  • 73.226.175.11
  • 73.228.158.175
  • 73.230.28.7
  • 73.29.92.128
  • 73.32.187.91
  • 73.36.196.11
  • 73.41.215.237
  • 73.45.247.179
  • 73.60.227.230
  • 73.78.215.104
  • 73.88.173.113
  • 74.92.243.113
  • 74.92.243.115
  • 74.93.148.97
  • 75.149.21.157
  • 76.149.184.246
  • 76.16.49.134
  • 76.27.40.189
  • 79.168.224.165
  • 81.20.248.72
  • 89.203.252.238
  • 96.85.69.170
  • 96.85.69.171
  • 96.87.28.170
  • 96.92.67.169
  • 98.222.212.149
  • 98.244.148.34
  • 98.37.25.99
  • 99.251.67.229
  • 99.252.190.205
  • 99.254.167.145
Комментарии: 0
Похожие записи
0
6 дней
IOC

Crocodilus: Новое вредоносное ПО для захвата устройств, нацеленное на Android-устройства

Banking Trojan
Crocodilus - это новый и высокоэффективный мобильный банковский троян, который обнаружен компанией ThreatFabric. В отличие от других существующих троянов, Crocodilus обладает современными методами, включая
0
2 месяца
IOC

StaryDobry Trojan IOCs

remote access Trojan
31 декабря киберпреступники начали массовую атаку, используя падение бдительности пользователей и увеличение трафика на торрент-сайтах в праздничный сезон. Эта атака продолжалась месяц и затронула физических
0
2 месяца
IOC

PlugX Trojan IOCs - Part 3

remote access Trojan
Троянец удаленного доступа PlugX, который был обнаружен в 2008 году, часто используется китайскими APT-группами для проведения целевых атак на государственные организации, критическую инфраструктуру, оборонных подрядчиков и другие цели.