00519ead - это обозначение набора образцов вредоносного рекламного ПО, которые могут использовать технику AppInit DLL для достижения постоянства и выполнения нескольких DNS-запросов.
Indicators of Compromise
IPv4
- 104.16.13.194
- 104.200.23.95
- 13.107.21.200
- 144.202.40.125
- 158.69.244.165
- 188.72.202.44
- 204.79.197.200
- 209.197.3.15
- 212.32.250.31
- 34.226.238.42
Domains
- 5isohu.com
- done.witchcraftcash.com
- ec2-34-226-238-42.compute-1.amazonaws.com
- images.clickfunnels.com
- maxcdn.bootstrapcdn.com
- myecomworld.net
- tac25.com
- thegoodcaster.com
- track.rightsearchsmooth.club
- wonderfulworldnow.club
- www.theoffertop.com
SHA256
- 06386d249ae1b3cc4bc96281ae89e10a85f68dd7e350e3e52fab4c88a7c02375
- 1e81d5888f17947bcbe31a74b3761c31c4fd6b49cb02d3eb4f85e065d8729e08
- 298b8e26c83ba9fd1bb1faeb5b0df909f1d163e7896e26c48d35e041aae6320e
- 641432c889189c393edf97cda9b08e5b083cbb8eecc5ac09b9d476f8872ecf3b
- 6fbe635039debcb4eccf4d9c24cf009b8405fbe8cf9fcc5c5f24d0ca8bffd53a
- a073171d46e57c4e308b6a62c0d14e597e95c030c019f428a26ee6c07f43557d
- a5b2ea50f8dceec4752888c5e50e364b16253160dd7fb20932d8e5e5a56ac719
- c1f44c795198b23f8058492bb82a29addd2eeae623a53296f0195777d6a5fde5
- c488c9a61f7be3a4e7b9c51dbefa36c2fe7b53904d30c38f58dcc1900aec098b
- c72e78abc54e7b785e666e0e61181c107a4cf6b9c0519146f9f2b9fbf47ba841
- f1aa892c158ea1779a210d52b9a4311245544868343d27c91454566d730aa4ee
TTP - тактика, техника, процедуры
Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые 00519ead.
ID | Техника | CWE | Описание | Доверие |
---|---|---|---|---|
1 | T1059 | CWE-94 | Межсайтовый скриптинг | Высокий |
2 | T1059.007 | CWE-79, CWE-80 | Межсайтовый скриптинг | Высокий |
3 | T1068 | CWE-264 | Выполнение с излишними привилегиями | Высокий |
Indicator of Attack
В этих индикаторах атаки (IOA) перечислены потенциальные фрагменты, используемые для технических действий, таких как разведка, эксплуатация, эскалация привилегий и эксфильтрация 00519ead.
ID | Тип | Индикатор | Доверие |
---|---|---|---|
1 | File | comment_add.asp | Высокий |
2 | File | data/gbconfiguration.dat | Высокий |
3 | File | inc/config.php | Высокий |