00519ead Trojan

remote access Trojan Security

00519ead - это обозначение набора образцов вредоносного рекламного ПО, которые могут использовать технику AppInit DLL для достижения постоянства и выполнения нескольких DNS-запросов.

Indicators of Compromise

IPv4

  • 104.16.13.194
  • 104.200.23.95
  • 13.107.21.200
  • 144.202.40.125
  • 158.69.244.165
  • 188.72.202.44
  • 204.79.197.200
  • 209.197.3.15
  • 212.32.250.31
  • 34.226.238.42

Domains

  • 5isohu.com
  • done.witchcraftcash.com
  • ec2-34-226-238-42.compute-1.amazonaws.com
  • images.clickfunnels.com
  • maxcdn.bootstrapcdn.com
  • myecomworld.net
  • tac25.com
  • thegoodcaster.com
  • track.rightsearchsmooth.club
  • wonderfulworldnow.club
  • www.theoffertop.com

SHA256

  • 06386d249ae1b3cc4bc96281ae89e10a85f68dd7e350e3e52fab4c88a7c02375
  • 1e81d5888f17947bcbe31a74b3761c31c4fd6b49cb02d3eb4f85e065d8729e08
  • 298b8e26c83ba9fd1bb1faeb5b0df909f1d163e7896e26c48d35e041aae6320e
  • 641432c889189c393edf97cda9b08e5b083cbb8eecc5ac09b9d476f8872ecf3b
  • 6fbe635039debcb4eccf4d9c24cf009b8405fbe8cf9fcc5c5f24d0ca8bffd53a
  • a073171d46e57c4e308b6a62c0d14e597e95c030c019f428a26ee6c07f43557d
  • a5b2ea50f8dceec4752888c5e50e364b16253160dd7fb20932d8e5e5a56ac719
  • c1f44c795198b23f8058492bb82a29addd2eeae623a53296f0195777d6a5fde5
  • c488c9a61f7be3a4e7b9c51dbefa36c2fe7b53904d30c38f58dcc1900aec098b
  • c72e78abc54e7b785e666e0e61181c107a4cf6b9c0519146f9f2b9fbf47ba841
  • f1aa892c158ea1779a210d52b9a4311245544868343d27c91454566d730aa4ee

TTP - тактика, техника, процедуры

Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые 00519ead.

ID Техника CWE Описание Доверие
1 T1059 CWE-94 Межсайтовый скриптинг Высокий
2 T1059.007 CWE-79, CWE-80 Межсайтовый скриптинг Высокий
3 T1068 CWE-264 Выполнение с излишними привилегиями Высокий

Indicator of Attack

В этих индикаторах атаки (IOA) перечислены потенциальные фрагменты, используемые для технических действий, таких как разведка, эксплуатация, эскалация привилегий и эксфильтрация 00519ead.

ID Тип Индикатор Доверие
1 File comment_add.asp Высокий
2 File data/gbconfiguration.dat Высокий
3 File inc/config.php Высокий

 

SEC-1275-1
Добавить комментарий