1275.ru
Open in
urlscan Pro
172.67.140.84
Public Scan
Submitted URL: https://1275.ru/ioc/1112/cuba-ransomware-apt-iocs/0.8550740663381553
Effective URL: https://1275.ru/ioc/1112/cuba-ransomware-apt-iocs/
Submission: On December 06 via api from US — Scanned from IL
Effective URL: https://1275.ru/ioc/1112/cuba-ransomware-apt-iocs/
Submission: On December 06 via api from US — Scanned from IL
Form analysis 2 forms found in the DOM
GET https://1275.ru/
<form role="search" method="get" class="search-form" action="https://1275.ru/"> <label> <span class="screen-reader-text"><!--noindex-->Search for:<!--/noindex--></span> <input type="search" class="search-field" placeholder="Поиск…" value="" name="s">
</label> <button type="submit" class="search-submit"></button> <label class="apbct_special_field" id="apbct_label_id64943" for="apbct__email_id__search_form_64943">64943</label><input id="apbct__email_id__search_form_64943"
class="apbct_special_field apbct__email_id__search_form" name="apbct__email_id__search_form_64943" type="text" size="30" maxlength="200" autocomplete="off" value="64943" apbct_event_id="64943"><input id="apbct_submit_id__search_form_64943"
class="apbct_special_field apbct__email_id__search_form" name="apbct_submit_id__search_form_64943" type="submit" size="30" maxlength="200" value="64943"></form>POST https://1275.ru/wp-comments-post.php
<form action="https://1275.ru/wp-comments-post.php" method="post" id="commentform" class="comment-form" novalidate="">
<p class="comment-form-author"><label class="screen-reader-text" for="author">Имя <span class="required">*</span></label> <input id="author" name="author" type="text" value="" size="30" maxlength="245" required="required" placeholder="Имя"></p>
<p class="comment-form-email"><label class="screen-reader-text" for="email">Email <span class="required">*</span></label> <input id="email" name="email" type="email" value="" size="30" maxlength="100" required="required" placeholder="Email"></p>
<p class="comment-form-comment"><label class="screen-reader-text" for="comment">Комментарий</label> <textarea id="comment" name="comment" cols="45" rows="8" maxlength="65525" required="required" placeholder="Комментарий"></textarea></p>
<p class="form-submit"><input name="submit" type="submit" id="submit" class="submit" value="Отправить комментарий"> <input type="hidden" name="comment_post_ID" value="1112" id="comment_post_ID"> <input type="hidden" name="comment_parent"
id="comment_parent" value="0"> </p><input type="hidden" id="ct_checkjs_a1140a3d0df1c81e24ae954d935e8926" name="ct_checkjs" value="f6d951e4a9baeb3a3a6e925bb08f1481cc1bdfce0c3c99a308d163ca131c78f0">
<script>
setTimeout(function() {
var ct_input_name = "ct_checkjs_a1140a3d0df1c81e24ae954d935e8926";
if (document.getElementById(ct_input_name) !== null) {
var ct_input_value = document.getElementById(ct_input_name).value;
document.getElementById(ct_input_name).value = document.getElementById(ct_input_name).value.replace(ct_input_value, 'f6d951e4a9baeb3a3a6e925bb08f1481cc1bdfce0c3c99a308d163ca131c78f0');
}
}, 1000);
</script><input type="hidden" id="apbct_visible_fields_1" name="apbct_visible_fields"
value="eyIwIjp7InZpc2libGVfZmllbGRzIjoiYXV0aG9yIGVtYWlsIGNvbW1lbnQiLCJ2aXNpYmxlX2ZpZWxkc19jb3VudCI6MywiaW52aXNpYmxlX2ZpZWxkcyI6ImNvbW1lbnRfcG9zdF9JRCBjb21tZW50X3BhcmVudCBjdF9ub19jb29raWVfaGlkZGVuX2ZpZWxkIiwiaW52aXNpYmxlX2ZpZWxkc19jb3VudCI6M319"><input
name="ct_no_cookie_hidden_field"
value="_ct_no_cookie_data_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"
type="hidden" class="apbct_special_field ct_no_cookie_hidden_field">
</form>Text Content
Перейти к содержанию Search for: 64943 SEC-1275-1 * Security * IOC * Vulnerabilities * CVE * BDU * Signatures * Malware * Списки * DGA * Список узлов ТОР (TOR) * Термины * Security * IOC * Vulnerabilities * CVE * BDU * Signatures * Malware * Списки * DGA * Список узлов ТОР (TOR) * Термины * Security * IOC * Vulnerabilities * CVE * BDU * Signatures * Malware * Списки * DGA * Список узлов ТОР (TOR) * Термины Главная страница » IOC CUBA RANSOMWARE APT IOCS IOC Опубликовано 08.12.2022 Компания Trend Micro отмечает возрождение активности вымогательского ПО Cuba в марте и апреле 2022 года. Она включала новый вариант, содержащий обновления бинарного файла - в частности, его загрузчика, - которые, как считается, повышают эффективность, минимизируют нежелательное поведение системы и даже предоставляют жертвам техническую поддержку в случае переговоров. Table of Contents Toggle * Indicators of Compromise * IPv4 * SHA1 Cuba ransomware имеет обширную инфраструктуру и использует в своем арсенале множество инструментов. Среди них такие утилиты Windows, как Remote Desktop Protocol (RDP), Server Message Block (SMB) и PsExec, которые он комбинирует с такими популярными инструментами, как Cobalt Strike (для латерального перемещения и C&C коммуникаций) и Mimikatz (для сброса учетных данных). Он также использует несколько уязвимостей в процессе заражения. Например, он использует уязвимости ProxyShell и ProxyLogon для первоначального доступа, а также использует уязвимость драйвера Avast (C:\windows\temp\aswArPot.sys) как часть процедуры отключения антивируса. Обратите внимание, что, несмотря на свое название, Cuba ransomware, по-видимому, происходит из России, о чем свидетельствует ее процедура завершения работы при обнаружении в системе русской раскладки клавиатуры или языка. INDICATORS OF COMPROMISE IPV4 * 185.153.199.164 * 190.114.254.116 * 23.227.197.229 * 45.32.229.66 SHA1 * 0a3ac9b182d8f14d9bc368d0c923270eed29b950 * 0d0ac944b9c4589a998b5032d208a16e63db5817 * 172f28f61a35716762169d63f207071adf21a54c * 209ffbc8ba1e93167bca9b67e0ad3561c065595d * 363dc3cf956ab2a7188cf0e44bffd9fba766097d * 39381976485fbe4719e4585f082a5252feedbcfd * 3ead9dd8c31d8cfb6cc53e96ec37bdcfdbbcce78 * 49cfcecd50fcfcd3961b9d3f8fa896212b7a9527 * 4f3a1e917f67293578b7e823bca35c4dff923386 * 4f6ee84f59984ff11147bfff67ab6e40cd7c8525 * 55b89bad1765bbf97158070fd5cbf9ea7d449e2a * 6da8a4a32a4410742f626376cbec38986d307d5a * 7c88207ff1afe8674ba32bc20b597d833d8b594a * 7ef1f5946b25f56a97e824602c58076e4b1c10b6 * 8247880a1bad73caaeed25f670fc3dad1be0954a * 82f194e6baeef6eefb42f0685c49c1e6143ec850 * 8fec34209f79debcd9c03e6a3015a8e3d26336bb * 922ca12c04b064b35fd01daadf5266b8a2764c32 * a304497ff076348e098310f530779002a326c264 * b73763c98523e544c0ce0da7db7142f1e039c0a2 * d0bbbc1866062f9a772776be6b7ef135d6c5e002 * d1ef60835127e35154a04d0c7f65beee6e790e44 * d9030bdbd0cb451788eaa176a032aa83cf7604c0 * e328b5e26a04a13e80e60b4a0405512c99ddb74e * e6ea0765b9a8cd255d587b92b2a80f96fab95f15 * ee883ec4b7b7c1eba7200ee2f9f3678f67257217 * f008e568c313b6f41406658a77313f89df07017e * f1be87ee03a2fb59d51cb4ba1fe2ece8ddfb5192 * f347fa07f13c3809e4d2d390e1d16ff91f6dc959 * fd4c478f1561db6a9a0d7753741486b9075986d0 Похожие записи: 1. Iron Tiger компрометирует чат-приложение Mimi 2. Void Balaur APT IOCs 3. Lazarus APT IOCs - Part 3 4. KILLNET APT IOCs 5. WIP19 APT IOCs APT Cuba Ransomware Trend Micro Gnostis Добавить комментарий Отменить ответ Имя * Email * Комментарий RSS Indicator of compromise CVE BDU מודעה Свежие записи * [GS-585] Mirai Botnet IOCs * Secret Blizzard APT IOCs * Злоумышленник нацелился на производственную отрасль с помощью Lumma Stealer и бота Amadey * Earth Minotaur APT IOCs * Andromeda Malware IOCs * [GS-584] Mirai Botnet IOCs * Charming Kitten APT IOCs - Part 7 * Фишинговое вредоносное ПО, выдающее себя за Национальную налоговую службу (ННС) * Venom Spider MaaS IOCs * [GS-583] Mirai Botnet IOCs Популярные записи: * Venom Spider MaaS IOCs * Charming Kitten APT IOCs - Part 7 * [GS-584] Mirai Botnet IOCs * Фишинговое вредоносное ПО, выдающее себя за… * [GS-583] Mirai Botnet IOCs * Gafgyt Botnet IOCs * Remcos, DarkGate и BrockenDoor * CleverSoar Malware IOCs * Matrix APT IOCs * APT36 (Transparent Tribe), Bitter APT IOCs 2022-2024 © General Software