TTL OSINT

Использование платформы ZoomEye для расширения активов C2

В статье рассматривается обнаружение и анализ троянских файлов C2 (CobaltStrike) на сервере с использованием платформы ZoomEye. Было установлено, что сервер с IP-адресом 89.197.154.116 находится в Лондоне, Великобритания, и имеет два открытых порта: 80 и 3000. На сервере было несколько файлов, многие из которых были троянскими файлами C2. Анализ этих файлов показал, что хакерская организация в последнее время активно проводила атаки, используя программу-вымогатель AvosLocker. 12 сентября 2024 года на сервер был добавлен файл с именем "Meeting.exe", который запускает и выпускает три файла, один из которых устанавливает соединение с самим сервером. Авторы предполагают, что IP-адреса 89.197.154.115 и 193.117.208.148 принадлежат одной и той же хакерской организации, которая расширяет свои активы C2 в Великобритании. Авторы также подозревают, что IP-адрес 193.117.208.101, который был переведен в автономный режим, когда-то принадлежал той же организации. Авторы используют номер ASN в качестве средства для вторичного расширения ресурсов C2 и обнаруживают, что IP-адрес 193.117.208.101 находится в Великобритании и может быть связан с организацией.

Ссылка:https://medium.com/@knownsec404team/using-zoomeye-platform-for-c2-asset-expansion-50ee8d779c39

Выборочные показатели Compromise:

• https://medium.com/@knownsec404team/using-zoomeye-platform-for-c2-asset-expansion-50ee8d779c39
• medium.com
• 89.197.154.115
• 64ffa88cf0b0129f4ececeb716e5577f65f1572b2cb6a3f4a0f1edc8cf0c3d4f
• 193.117.208.148

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал