Главная страница » IOC
0
1 месяц
IOC

TorNet Backdoor IOCs

security

Cisco Talos обнаружила финансово мотивированную вредоносную кампанию, ведущуюся с июля 2024 года и направленную на пользователей в Польше и Германии.

TorNet Backdoor

Кампания использует фишинговые письма на польском и немецком языках, выдающие себя за финансовые учреждения и компании, чтобы распространять вредоносные нагрузки, включая Agent Tesla, Snake Keylogger и новый бэкдор TorNet, созданный вредоносной программой PureCrypter.

Агент кампании использует запланированные задачи Windows для запуска вредоносных программ на машинах-жертвах и избегания обнаружения облачными решениями. Он также подключает машины-жертвы к сети TOR, используя бэкдор TorNet, чтобы управлять ими и избегать обнаружения.

Кампания начинается с фишинговых писем, содержащих вложения с расширением ".tgz". При открытии вложения и запуске исполняемого файла загрузчика .NET происходит загрузка и запуск вредоносной программы PureCrypter. Затем PureCrypter загружает и запускает бэкдор TorNet, устанавливая соединение с сервером C2 и подключая машину-жертву к сети TOR.

Вредоносные файла PureCrypter зашифрованы и загружаются с удаленных серверов, используя различные пути и файловые расширения, чтобы остаться незамеченными. Они содержат ссылки на легитимные DLL и бэкдор TorNet. PureCrypter также проводит проверки на наличие отладчиков, аналитиков, виртуальных машин и вредоносного ПО на машинах-жертвах.

Чтобы избежать обнаружения облачными программами защиты от вредоносного ПО, PureCrypter отключает машину-жертву от сети, а затем снова подключает ее после запуска бэкдора. Это позволяет агенту сохранять незаметность и продолжать свою деятельность. Кампания Cisco Talos указывает на необходимость усовершенствования защиты от фишинговых атак и вредоносных программ, особенно для пользователей в Польше и Германии.

Indicators of Compromise

Domains

  • blissfulzerooooos690.ddnsfree.com
  • greeslieforreallcul5672.casacam.net
  • humblecrazeforeal8897.accesscam.org
  • italzformendinggallores.duckdns.org
  • moristaetdfertal9002.ddnsgeek.com
  • paradoncalleke5689.camdvr.org
  • sertiscoppersail432.freeddns.org
  • www.blissfulzerooooos690.ddnsfree.com

URLs

  • http://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Elxrh.vdf
  • http://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Zafvlztxj.vdf
  • https://cud-senegal.org/post-postlogin/Cpoewtupeck.mp4
  • https://cud-senegal.org/post-postlogin/Izevzxvwkpf.pdf
  • https://cud-senegal.org/post-postlogin/Nrileknnlgv.vdf
  • https://cud-senegal.org/post-postlogin/Oojhwcym.wav
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Atcbgl.mp4
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Awtvbihi.vdf
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Bibyep.mp4
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Bnvqyotgu.mp3
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Bonhowau.mp4
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Cfyenm.mp4
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Dewsmwflw.vdf
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Dyvfi.dat
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Elxrh.vdf
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Fwudzwsfsp.wav
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Fxsovxc.pdf
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Gikwomjv.wav
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Guwasd.dat
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Hlynogyqp.dat
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Ibesc.wav
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Iicivjzqdma.mp3
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Jlhwfgnnyms.wav
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Jovjvwp.wav
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Lcrakntjck.pdf
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Lmshcchh.wav
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Oqjhea.mp3
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Otmaq.mp4
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Qcqvzdtpln.pdf
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Qecvodcnuz.wav
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Rmtafnw.mp3
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Rspfqdltykq.mp3
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Rxmjavdc.mp3
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Sfrnotlay.mp3
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Sjydgbr.pdf
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Uvkoiguq.dat
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Vmoeykn.pdf
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Wyvmy.wav
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Xlkythleoq.pdf
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Zafvlztxj.vdf
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Zerwfilj.pdf
  • https://sanel.net.pl/filescontentgalleries/pictorialcoversoffiles/Ztpcwfowiiu.wav

SHA256

  • 075737b17ba72aed5f45d227bf91dd5744914308e1468717a8f3100a0cca8156
  • 13ac538c8c6696a59f890677cf451db77b7c33539da1d380640ce549b2b70ca4
  • 252d9ed583bbd2e5d75ae5167feb393bd50b44933594f9586aaf5d9987cf78ec
  • 2f1cb29e47c5b07fba3070d6a5339b00d2f3075eb7717438cf5cf53679793919
  • 2f9c2e0bef460a7623954d65f10e6e5993c01d25e6f2905a5dc911639ca2ea75
  • 3b4e709768d7cd0cb895de74267f45a6ef6565ebed445393878f17ae02a983e3
  • 4280eb4cfa0445a40d8e1dfafdc0eb24613f3536c5959270ef0079034b30e653
  • 4a5b8442dc2b34a270acdcd8a14cce573d59dc0922c9e49cda8fe2dd8e4a3862
  • 53e7b3b72695a1eaea7146ec3cbd05d0ce2a1eba87f035ae07849feb4f59ec63
  • 57543fd3673c9595a73c836b153faf68e23938662c5a4b6675205734b688ae95
  • 6774a822d9c66951be95341d50c1f876a9373fefef52f68f29eaae4efc621817
  • 75d2d368d735fca2bad0155510cb4a927f7f246ea72299395990027264056521
  • 7ce9af599857827317a444c5a63a08929ec97765bc2624076f4834f323a41da2
  • 80b80e15f605f0b8740e1989e505280394d746e8a8ee37cdb9b009d745e42da0
  • 84570dac910557d0d8217db746c9a8fd4a27cd3db89135731c7f3584b37df533
  • 898d0451bd52c466d2284091be928f8ec1ced2184b205d903a04a747e67763ea
  • 9d33726fc1d39fdc0426c70ed0cfb515e15f50d39c46d8ff38025b4faf8811dc
  • a85423a1a37f604e492ee58920178080f0da306750a356ddfe1b695c12becd07
  • bff0ec65af8b2bb37fcc5202f823b5877ebdcc8efbd32e08f309cbcb4dc2570c
  • c32d97fb9a1681a7bea3f417abde0264a2332221e317c8543e337baac9307c67
  • dc513e35a6d96933e7af2b300782a32131d31445a6d1e2bbca9604128c92e7c6
  • e9ab4772ba6de2db9add3d4bbd3ce0f2dd899f16399b57fd2a539769e6ee973a
  • edac6216665f1c8b0a09158abdd5e7fab63a386a1c9ad31ddd5ee92a6aa811fc
Комментарии: 0
Похожие записи
0
21 час
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает
0
8 дней
IOC

Вредоносное ПО для .NET замаскировано с помощью шифрования и виртуализации

security
Palo Alto описали использование методов обфускации вредоносными программами, такими как Agent Tesla, XWorm и FormBook/XLoader, чтобы обойти обнаружение в песочнице и повысить вероятность успешной доставки их вредоносных файлов.