远控木马 TA578 THREAD-HIJACKED EMAIL --> BUMBLEBEE --> COBALT STRIKE

显示全部楼层 · 发表于 2022-6-15 09:08:31

本帖最后由 00006666 于 2022-6-15 09:18 编辑

#TA578 #Bumblebee malware infection led to #CobaltStrike activity on 172.93.181[.]105:443 using hocavopeh[.]com

ASSOCIATED MALWARE:
- SHA256 hash: f17744df579de5a9b657299f909d32fd3ef60812f1b0d4f6e7ea518d2f571a39
- File size: 956,787 bytes
- File name: June-14-Request-Scan_103_docx.zip
- File description: zip archive attached to email
- SHA256 hash: 3499d4981c2a23681954b74793976d8d99e097a905bacd2c3d4e77855e90e4d9
- File size: 3,211,264 bytes
- File name: June-14-Request-Scan_103_docx.iso
- File description: ISO image extracted from the above zip archive
- SHA256 hash: 7ea93d3194137b5e8e11609733b6d1dbefda22cc1e129e25a06e8623f2bbc3e3
- File size: 2,098 bytes
- File name: documents.lnk
- File description: Windows shortcut contained in above ISO image
- Command from shortcut: C:\Windows\System32\rundll32.exe toso3l.dll,LyirJCyvGh
- SHA256 hash: 2e349b3224cc0d958e6945623098c2d28cc8977e0d45480c0188febbf7b8aa78
- File size: 1,764,864 bytes
- File name: toso3l.dll
- File description: 64-bit DLL for Bumblebee malware
- Run method: rundll32.exe [filename],LyirJCyvGh
BUMBLEBEE C2 TRAFFIC:
- 193[.]233.203.156 port 443 - HTTPS traffic
- 39[.]57.152.217 port 440 - attempted TCP connections
- 69[.]161.201.181 port 382 - attempted TCP connections
COBALT STRIKE TRAFFIC:
- 172[.]93.181.105 port 443 - hocavopeh[.]com - HTTPS traffic
SELF-SIGNED CERTIFICATE ISSUER DATA FOR BUMBLEBEE HTTPS C2 TRAFFIC:
- id-at-countryName=AU
- id-at-stateOrProvinceName=Some-Staste
- id-at-organizationName=Internet Widgits Pty Ltd
SECTIGO CERTIFICATE ISSUER DATA FOR COBALT STRIKE HTTPS TRAFFIC:
- id-at-countryName=GB
- id-at-stateOrProvinceName=Greater Manchester
- id-at-localityName=Salford
- id-at-organizationName=Sectigo Limited
- id-at-commonName=Sectigo RSA Domain Validation Secure Server CA
- NOTE: Sectigo is a legitimate Certificate Authority (CA), and criminals occasionally use Sectigo certificates for their Cobalt Strike servers.

复制代码

显示全部楼层 · 发表于 2022-6-15 09:09:43

Web Protection by
Bitdefender
Dangerous page blocked for your protection
https://bbs.kafan.cn/forum.php?m ... TV8MjIzNzIzNw%3D%3D
Dangerous pages attempt to install software that can harm the device, gather personal information or operate without your consent.

显示全部楼层 · 发表于 2022-6-15 09:13:03

咖啡杀dll

显示全部楼层 · 发表于 2022-6-15 09:15:27

卡巴：
‘事件: 检测到恶意对象
用户: DESKTOP-S2JTF63\Justin
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: UDS:Trojan-Dropper.Win64.BumbleBee
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: toso3l.dll
对象路径: D:\常用文件夹\下载\June-14-Request-Scan_103_docx.iso//
MD5: 9E7D45B4F097D4274AA74B5EAADE65D9
原因: 云保护’
‘事件: 检测到恶意对象
用户: DESKTOP-S2JTF63\Justin
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
名称: UDS:DangerousObject.Multi.Generic
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: June-14-Request-Scan_103_docx.iso
对象路径: D:\常用文件夹\下载
MD5: 28F64C519DF59A4A49BDD51DCBDF0CC8
原因: 云保护’
‘事件: 检测到恶意对象
用户: DESKTOP-S2JTF63\Justin
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: UDS:Trojan-Dropper.Win64.BumbleBee
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: toso3l.dll
对象路径: D:\常用文件夹\下载\June-14-Request-Scan_103_docx.zip//June-14-Request-Scan_103_docx.iso//
MD5: 9E7D45B4F097D4274AA74B5EAADE65D9
原因: 云保护’
‘事件: 检测到恶意对象
用户: DESKTOP-S2JTF63\Justin
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
名称: UDS:DangerousObject.Multi.Generic
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: June-14-Request-Scan_103_docx.iso
对象路径: D:\常用文件夹\下载\June-14-Request-Scan_103_docx.zip//
MD5: 28F64C519DF59A4A49BDD51DCBDF0CC8
原因: 云保护’
‘事件: 检测到恶意对象
用户: DESKTOP-S2JTF63\Justin
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
名称: UDS:DangerousObject.Multi.Generic
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: June-14-Request-Scan_103_docx.zip
对象路径: D:\常用文件夹\下载
MD5: 7DD0D56AEAE6210F1A4028FD2CF95C16
原因: 云保护’
‘事件: 检测到恶意对象
用户: DESKTOP-S2JTF63\Justin
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: UDS:Trojan-Dropper.Win64.BumbleBee
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: toso3l.dll
对象路径: D:\常用文件夹\下载
MD5: 9E7D45B4F097D4274AA74B5EAADE65D9
原因: 云保护’
还剩一个名叫documents的快捷方式

显示全部楼层 · 发表于 2022-6-15 09:16:08

Norton miss

显示全部楼层 · 发表于 2022-6-15 09:22:40

huangzihang 发表于 2022-6-15 09:09

刚刚弄错了，没加密码，现在重新上传附件了。

显示全部楼层 · 发表于 2022-6-15 09:24:41

Ahnlab V3 Lite Kill

显示全部楼层 · 发表于 2022-6-15 18:03:26

毒霸扫描miss

显示全部楼层 · 发表于 2022-6-15 20:49:03

御点 1x
G DATA 1X

显示全部楼层 · 发表于 2022-6-15 22:19:51

360

文件目录：C:\Users\FengMu\Desktop\TA578 样本\June-14-Request-Scan_103_docx.iso
木马名称:Win32/Trojan.Generic.HsYAStYA
处理方法：删除
查杀引擎：360_Safe_center-Cloud
文件目录：C:\Users\FengMu\Desktop\TA578 样本\toso3l.dll
木马名称:Win64/Trojan.Generic.HggAStYA
处理方法：删除
查杀引擎：360_Safe_center-Cloud

复制代码

毒霸

威胁：c:\users\fengmu\desktop\ta578 样本\toso3l.dll
类型：win32.troj.undef.(kcloud)
处理方式：删除

复制代码

[病毒样本] 远控木马 TA578 THREAD-HIJACKED EMAIL --> BUMBLEBEE --> COBALT STRIKE

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块