Главная страница » IOC
0
10 месяцев
IOC

SquidLoader Malware IOCs

security

Компания LevelBlue Labs обнаружила новую вредоносную программу, названную SquidLoader, которая использует фишинговые вложения для доставки на целевые системы. SquidLoader является загрузчиком вредоносного ПО второго этапа, и его основная цель - загрузка и выполнение модифицированной версии Cobalt Strike, которая защищена от анализа.

В начале 2024 года специалисты обнаружили образцы SquidLoader, которые были прикреплены к фишинговым письмам с китайскими названиями файлов, казалось, чтобы привлечь китайскоязычных жертв. Образцы были именованы в честь китайских компаний и имели описательные имена файлов, чтобы обмануть пользователей. Загрузчики загружали и выполняли полезную нагрузку в виде шелл-кода через HTTPS-запросы. SquidLoader обладает механизмами уклонения и обмана, которые позволяют ему избежать обнаружения и статического анализа.

Анализ образцов показал, что SquidLoader использует недействительные истекшие сертификаты для подписи вредоносных файлов, а его командно-контрольные серверы используют самоподписанные сертификаты. Кроме того, загрузчик дублирует себя в определенном месте и перезапускает себя с нового места, а полезная нагрузка Cobalt Strike имеет возможность создавать службы и изменять ключи реестра для сохранения на целевой системе.

Шелл-код, доставляемый SquidLoader, зашифрован с использованием XOR-ключа и содержит код, связанный с популярными программными продуктами, такими как WeChat и mingw-gcc. Это сделано для обмана исследователей безопасности, однако этот код никогда не будет выполнен.

В целом, SquidLoader представляет серьезную угрозу, так как обладает сложными механизмами уклонения и обмана. Хотя он был обнаружен в кампаниях, направленных на китайскоязычные жертвы, его методы и тактика могут быть использованы против организаций из других стран. Поэтому необходимо быть бдительными и принимать меры для защиты от подобных атак.

Indicators of Compromise

IPv4

  • 1.92.84.147
  • 101.133.168.75
  • 101.200.228.27
  • 107.173.248.41
  • 112.126.85.225
  • 114.55.86.183
  • 116.205.246.230
  • 120.77.201.255
  • 120.79.47.9
  • 121.41.130.38
  • 122.51.216.39
  • 123.56.106.203
  • 123.56.141.243
  • 123.56.225.31
  • 123.57.248.191
  • 123.57.50.228
  • 123.57.51.44
  • 139.224.17.182
  • 182.92.123.99
  • 182.92.20.52
  • 182.92.21.95
  • 39.105.204.46
  • 39.105.52.147
  • 39.106.19.143
  • 39.99.39.116
  • 47.103.80.176
  • 47.106.165.142
  • 47.116.177.101
  • 47.93.174.98
  • 47.94.104.161
  • 47.94.107.105
  • 47.94.227.173
  • 47.94.234.19
  • 47.94.237.26
  • 47.94.43.118
  • 60.205.176.230
  • 60.205.232.221
  • 8.134.48.101
  • 8.138.118.56
  • 8.138.147.209
  • 8.141.83.102
  • 8.147.116.134
  • 82.156.184.108

URLs

  • https://123.56.225.31/flag.jpg
  • https://139.224.17.182/api/v1/endpoints

SHA256

  • 01c5b2be71a64b6bbd2029a774f63ed8afc0d122e269e2340c9ab5ec9303318e
  • 08f78a98770666da78416b034559a99a325de6732400ab4e6d357f9748f1d4cb
  • 0f04bdf76617081f33b86896d2fdb1c0ca741ee6ffe40602a04db0dbac975fa4
  • 23a041fd6c1f9ac20bc189f3c74e3ad96a2353c0ac3b917b27966497f40d4d85
  • 2838813ddc32db0cdfdc87176665929a1a9846b346c91fbf44ccfb7d4d99db16
  • 2c497cd09bb4a108b4f29bb96e89d140ba7a04a9ff33f7cd642b9ac6598ecb09
  • 2cd9936fbdd2b98d1abfe9396341501223d35aa43b88a8ca1337dca36f4553ed
  • 35b8ddc1e1f632e70dc20387951f06e664d0969c3ede6eb21c353ac021981da0
  • 396a0b467b9067cfc5a005b728e2c4a782502895fdc27ab4988bca975f58a961
  • 41523349ade62c5d2e9a3274043970ea43ce7c7e5fb2153497979f4b4df1479b
  • 46caddb7dc5598817cac3c325bd434f1d1cc7e476523fa5eaf4649f5edc7fbc2
  • 47bdd9282889be2bcf0c70bf52c2da7730a39c4f5a56d93d17793c91381f0db0
  • 54bc0e62f154f3c86687b8e2c845619b071d374b2970edc055b293c2226c5d64
  • 565fc225391c1d37c15eb8f852819902d801092fdd93eb1da596a97b42ccef0c
  • 597b7e9962b42c4568492aaa44c7164fbf2c1a81d627bc2262a82b05b1e19534
  • 663d4a7f6224db2718b015dca7b739a0538ccf0c8176c1f84ed6030ac3e7e2d0
  • 6d41e0e197b9635f27252dba94293ad714eadcfc39d1627288cb88900ef6e3af
  • 6e67cfa4cbd2b35c584f47bd9ab08e355266c4cd1b59d7a958c3d16c11bfaa57
  • 75d73e41be593a9990c9357e6ed407c05193de6e8d424c56747ad0063f1374b2
  • 7638c944f39ce58230dfd97e171777d9aa333737ead9baddf8534196f3790a91
  • 8004c68e2ac21bfed82747f11105f202776593f980d7dc90af782cf7649d0fe6
  • 8ab8a80ffb64145a30231d9097852b5a1008ab20665feb6bb9c3caf98b1e479b
  • 8f66d46fb02a13ccd993ed04dcaf0324a3345bb41a1329092c7d6634b412ba2d
  • 914b1b3180e7ec1980d0bafe6fa36daade752bb26aec572399d2f59436eaa635
  • a851fabc94f89315bc305cd7fe6bc308ffc6e912e793552e7757a7f6bea13965
  • aa9f4f876a332f4ce53aa629c3548c79c62d9b540130198c64e00b251ee94171
  • b247fad2f1361e0e10fd3ad31d9485ee1b6af722c8caaff2d2643e67bbe2e6a2
  • b2c2b31e042879ac75c7a4a3d4a475256bca0658bb1ec5c291febaee44d31bef
  • b4701b91af131597ec887646f066fb6c6c968a74f35e3bb64a20ad93d5ccf0b8
  • bdc2cd4ce434e57bfa6aa1c6e8f4a62114a581eb4cdb4ad57cf36a1fad3c06db
  • cc94f49acdd8741c94263ec4d79b3cf929ae811cd12802c960e4eedb74581bc8
  • cd7759b3075e0d4ed8ce787e52a8130faecf6535676a33739b3242305102a26c
  • d73f823a09ab7820dabadb9b32041e3839551c4b8fdc291a0196233aba24c942
  • d81dc8d657477014a3d2a5fdeb507b0573e35f7484e8d0a57eb030211ad89505
  • dcb8ddcdf89e0896340b253a4008118f9b40000484f7ab41a359805e9d9f7fd3
  • e4294bdd8927952c9cca75792ca29a8c0d51bd59034272944e203313160f6e2a
  • e65208bc0a0302e55755d47628e89cc80a788512f40252083078f931c4e6d239
  • f303fac65e7487e1fa7a229516fc493a48dc6d5b54544b4820298aef785b9429
  • f3ed0548e08c1032a81f483f3453cc0837b405603b24f158d99cc587c354edcc

 

Комментарии: 0
Похожие записи
0
1 месяц
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает
0
2 месяца
IOC

Buer Loader IOCs

security
Buer (BuerLoader) - это загрузчик, продаваемый на подпольных форумах и используемый злоумышленниками для доставки вредоносных программ с полезной нагрузкой на целевые машины.
0
2 месяца
IOC

Sandworm APT нацеливает на украинских пользователей троянские средства активации Microsoft KMS в рамках кампаний по кибершпионажу

security
Аналитики EclecticIQ утверждают, что Sandworm (APT44) активно осуществляет кампанию кибершпионажа против украинских пользователей Windows. Используя пиратские активаторы Microsoft Key Management Service