Rate mal, wer wieder da ist?!

Szene IT-Security, Leaks & neue Bugs
1

Rate mal, wer wieder da ist…?

Am Sonntag, dem 14. November, gegen 21:26 Uhr UTC haben wir auf mehreren unserer Trickbot-Tracker beobachtet, dass der Bot versucht hat, eine DLL auf das System herunterzuladen. Laut interner Verarbeitung wurden diese DLLs als Emotet identifiziert. Da das Botnet jedoch Anfang des Jahres abgeschaltet wurde, waren wir misstrauisch gegenüber den Ergebnissen und führten eine erste manuelle Überprüfung durch. Nachfolgend finden Sie erste Ergebnisse und IOCs. Derzeit haben wir hohes Vertrauen, dass die Samples tatsächlich eine Reinkarnation des berüchtigten Emotet zu sein scheinen.

Sonntag, 14. November, 21:26 Uhr: Erstes Auftreten der URLs, die verworfen werden; die URL, die wir erhalten haben, war hxxp://141.94.176.124/Loader_90563_1.dll (SHA256 des Drops: c7574aac7583a5bdc446f813b8e347a768a9f4af858404371eae82ad2d136a01 ). Die interne Verarbeitung hat Emotet beim Ausführen des Beispiels in unseren Sandbox-Systemen erkannt. Insbesondere scheint das Beispiel kompiliert worden zu sein, kurz bevor die Bereitstellung über mehrere Trickbot-Botnetze beobachtet wurde:Timestamp : 6191769A (Sun Nov 14 20:50:34 2021)

Der aus dem Beispiel stammende Netzwerkverkehr ähnelt stark dem, was zuvor beobachtet wurde (zB wie von Kaspersky beschrieben ): Die URL enthält einen zufälligen Ressourcenpfad und der Bot überträgt die Anfrage-Payload in einem Cookie (siehe Abbildung unten). Die zum Verbergen der Daten verwendete Verschlüsselung scheint sich jedoch von dem zu unterscheiden, was in der Vergangenheit beobachtet wurde. Darüber hinaus verwendet das Beispiel jetzt HTTPS mit einem selbstsignierten Serverzertifikat, um den Netzwerkverkehr zu sichern.

Ein bemerkenswertes Merkmal der letzten Emotet-Beispiele war die starke Verwendung von Control-Flow-Flattening, um den Code zu verschleiern. Die aktuelle Stichprobe enthält auch abgeflachte Kontrollflüsse. Um die Ähnlichkeit im Stil der Verschleierung zu veranschaulichen, finden Sie unten zwei beliebige Code-Schnipsel. Links ein Beispiel aus dem Jahr 2020, rechts ein Ausschnitt aus dem aktuellen Beispiel:

0
0392×995 14.4 KB
1
1654×679 13.1 KB

Nach der berühmten Enten-Typisierung kommen wir bisher zum Schluss: riecht nach Emotet, sieht aus wie Emotet, verhält sich wie Emotet – scheint Emotet zu sein.
:wink: :joy:

URLs:
hxxp://141.94.176.124/Loader_90563_1.dll

Hashes:
c7574aac7583a5bdc446f813b8e347a768a9f4af858404371eae82ad2d136a01 - Loader_90563_1.dll

Serverliste:
81.0.236.93:443
94.177.248.64:443
66.42.55.5:7080
103.8.26.103:8080
185.184.25.237:8080
45.76.176.10:8080
188.93.125.116:8080
103.8.26.102:8080
178.79.147.66:8080
58.227.42.236:80
45.118.135.203:7080
103.75.201.2:443
195.154.133.20:443
45.142.114.231:8080
212.237.5.209:443
207.38.84.195:8080
104.251.214.46:8080
138.185.72.26:8080
51.68.175.8:8080
210.57.217.132:8080

String-Liste:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
POST
%s\rundll32.exe "%s",Control_RunDLL
Control_RunDLL
%s\%s
%s\%s
%s\%s%x
%s%s.exe
%s\%s
SHA256
HASH
AES
Microsoft-Primitive-Anbieter
Objektlänge
KeyDataBlob
%s\rundll32.exe "%s\%s",%s
Inhaltstyp: multipart/form-data; Grenze=%s

RNG
%s%s.dll
%s\rundll32.exe "%s",Control_RunDLL
%s%s.dll
%s\regsvr32.exe -s "%s"
%s\%s
%s%s.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
%s\rundll32.exe "%s\%s",%s
EKPUBLIKBLOB
ECDH_P256
Microsoft-Primitive-Anbieter
EKPUBLIKBLOB
Cookie: %s=%s

%s\rundll32.exe "%s\%s",%s
%s:Zone.Identifier
%u.%u.%u.%u
%s\%s
%S\*
%s\%s
WinSta0\Default
%s\rundll32.exe "%s",Control_RunDLL %s
%s%s.dll
EKPUBLIKBLOB
ECDSA_P256
Microsoft-Primitive-Anbieter
%s\%s
SHA256
Microsoft-Primitive-Anbieter
Objektlänge
Firstseen (UTC) Host Malware Status Network (ASN) Country
2021-11-17 17:00:38 122.129.203.163 Emotet Online AS38763 CYBERBINTAN-AS-ID PT. Cyber Bintan - ID
2021-11-17 17:00:37 31.220.49.39 Emotet Online AS47583 AS-HOSTINGER - CY
2021-11-17 04:55:35 62.210.200.63 Emotet Offline AS12876 Online SAS - FR
2021-11-16 23:55:38 191.252.196.221 Emotet Online AS27715 Locaweb Servicos de Internet SA - BR
2021-11-16 23:00:35 91.200.186.228 Emotet Online AS43962 INTEN - PL
2021-11-16 18:20:39 202.29.239.161 Emotet Online AS4621 UNINET-AS-AP UNINET- - TH
2021-11-16 15:30:05 185.184.25.237 Emotet Online AS209711 MUVHOST - TR
2021-11-16 12:57:52 103.161.172.108 Emotet Online AS135951 WEBICO-AS-VN Webico Company Limited - VN
2021-11-16 12:57:48 93.188.167.97 Emotet Offline AS47583 AS-HOSTINGER - CY
2021-11-16 12:57:47 163.172.50.82 Emotet Online AS12876 Online SAS - FR
2021-11-16 06:57:31 45.79.33.48 Emotet Online AS63949 LINODE-AP Linode, LLC - US
2021-11-16 06:14:59 210.57.217.132 Emotet Online AS38142 UNAIR-AS-ID Universitas Airlangga - ID
2021-11-16 06:14:54 51.68.175.8 Emotet Offline AS16276 OVH - FR
2021-11-15 19:41:19 177.72.80.14 Emotet Online AS262543 BRMOM CONSTRUINDO CONEXOES LTDA - BR
2021-11-15 19:25:04 51.210.242.234 Emotet Offline AS16276 OVH - FR
2021-11-15 19:25:03 51.178.61.60 Emotet Offline AS16276 OVH - FR
2021-11-15 19:25:02 196.44.98.190 Emotet Online AS327814 Ecoband - GH
2021-11-15 19:24:59 185.148.169.10 Emotet Offline AS24679 SSERV-AS - DE
2021-11-15 19:24:41 142.4.219.173 Emotet Offline AS16276 OVH - CA
2021-11-15 19:13:43 168.197.250.14 Emotet Online AS264776 Omar Anselmo Ripoll TDC NET - AR
2021-11-15 17:59:19 94.177.248.64 Emotet Offline AS199883 ARUBACLOUDLTD-ASN - GB
2021-11-15 17:59:18 81.0.236.93 Emotet Offline AS15685 CASABLANCA-AS Internet & Collocation Provider - CZ
2021-11-15 17:59:17 66.42.55.5 Emotet Online AS20473 AS-CHOOPA - SG
2021-11-15 17:59:12 45.76.176.10 Emotet Offline AS20473 AS-CHOOPA - SG
2021-11-15 17:59:07 188.93.125.116 Emotet Offline AS35779 MCLOUD-AS - RS
2021-11-15 17:59:06 103.8.26.103 Emotet Online AS132241 SKSATECH1-MY SKSA TECHNOLOGY SDN BHD - MY
2021-11-15 17:59:02 103.8.26.102 Emotet Online AS132241 SKSATECH1-MY SKSA TECHNOLOGY SDN BHD - MY
1 „Gefällt mir“
2

Das Ganze gibt es dann auch noch als praktische IP-Blocklist. Eventuell, für den ein oder anderen von euch ganz interessant. https://feodotracker.abuse.ch/downloads/ipblocklist_recommended.txt

1 „Gefällt mir“
3

Bemerkenswert finde ich dabei, dass früher über Emotet zum Beispiel der Banking-Trojaner TrickBot verteilt wurde.
Jetzt beim Neustart von Emotet mit einem sehr kleinen C2C-Serverpool, wird TrickBot (wegen seiner großen Infrastruktur) genutzt, um Emotet weiter zu verteilen und wieder zu etablieren! Anscheinend hackt hier wirklich keine Krähe der anderen ein Auge aus :rofl:
Bin mal gespannt, ob es Emotet zur alten Größe schafft oder dieses mal einer unter vielen bleibt??

4

Wie fängt man sich sowas ein?
Reicht es, nicht auf Links in Mails zu klicken und NoScript/uBlock etc. aktiv zu haben?

5

In dem man die lokale Suchfunktion nicht nutzt! :rofl: :rofl:

https://tarnkappe.info/forum/t/emotet-trickbot-ryuk-ein-explosiver-malware-cocktail/2714

6

Hier noch die TrickBot C2C-Server (aktuell online), die fürs Verteilen maßgeblich sind:

Firstseen (UTC) Host Malware Status Network (ASN) Country
2021-11-16 03:56:28 212.175.98.171 TrickBot Online AS9121 TTNET - TR
2021-11-11 23:35:27 24.32.202.68 TrickBot Online AS19108 SUDDENLINK-COMMUNICATIONS - US
2021-11-09 11:29:39 171.235.33.211 TrickBot Online AS7552 VIETEL-AS-AP Viettel Group - VN
2021-11-08 10:05:02 200.201.185.194 TrickBot Online AS17222 MUNDIVOX DO BRASIL LTDA - BR
2021-11-07 19:32:03 181.112.49.170 TrickBot Online AS28006 CORPORACION NACIONAL DE TELECOMUNICACIONES - CNT EP - EC
2021-11-07 15:39:42 43.225.69.20 TrickBot Online AS59162 UPCSPL-AS-IN U.P. COMMUNICATION SERVICES PVT LTD - IN
2021-11-06 20:20:45 177.138.142.97 TrickBot Online AS27699 TELEFONICA BRASIL S.A - BR
2021-11-06 12:38:32 202.58.199.82 TrickBot Online AS45701 MILLENINDO-AS-ID Internet Madju Abad Millenindo, PT - ID
2021-11-06 12:38:30 177.37.161.136 TrickBot Online AS28126 BRISANET SERVICOS DE TELECOMUNICACOES LTDA - BR
2021-11-06 11:35:02 136.228.129.179 TrickBot Online AS131207 SINET-KH SINET, Cambodias specialist Internet and Telecom Service Provider. - KH
2021-11-06 11:32:39 203.173.94.162 TrickBot Online AS18059 DTPNET-AS-AP DTPNET NAP - ID
2021-11-06 11:32:04 61.19.116.53 TrickBot Online AS9931 CAT-AP The Communication Authoity of Thailand, CAT - TH
2021-11-06 11:31:47 103.80.54.34 TrickBot Online AS135797 SIMINFO-AS Simsys Infotech Pvt. Ltd. - IN
2021-11-06 11:31:44 202.144.203.140 TrickBot Online AS137478 CYBER-AS-AP Cyber Net Cafe - BD
2021-11-06 11:31:27 190.61.46.106 TrickBot Online AS52468 UFINET PANAMA S.A. - CO
2021-11-06 11:31:21 116.90.234.82 TrickBot Online AS24550 WEBSURFERNP-AS-NP Websurfer Nepal Internet Service Provider - NP
2021-11-06 11:31:20 181.188.180.243 TrickBot Online AS27882 Telefonica Celular de Bolivia S.A. - BO
2021-11-06 11:30:56 181.211.247.43 TrickBot Online AS28006 CORPORACION NACIONAL DE TELECOMUNICACIONES - CNT EP - EC
2021-11-06 11:30:42 181.189.221.250 TrickBot Online AS27792 Wiltel Comunicaciones SA - AR
2021-11-06 11:30:38 202.51.122.163 TrickBot Online AS17995 SOLUSINET-AS-ID PT iForte Global Internet - ID
2021-11-06 11:30:13 200.83.98.31 TrickBot Online AS22047 VTR BANDA ANCHA S.A. - CL
2021-10-05 16:17:00 136.228.128.21 TrickBot Online AS131207 SINET-KH SINET, Cambodias specialist Internet and Telecom Service Provider. - KH
2021-10-05 16:16:59 116.206.153.212 TrickBot Online AS45117 INPL-IN-AP Ishans Network - IN
2021-09-25 19:14:16 36.92.59.93 TrickBot Online AS7713 TELKOMNET-AS-AP PT Telekomunikasi Indonesia - ID
2021-09-25 08:33:39 103.52.135.61 TrickBot Online AS134113 MCN-BD Kazi Sazzad Hossain TA Millennium Computers & Networking - BD
2021-09-24 19:14:26 124.41.211.17 TrickBot Online AS17501 WLINK-NEPAL-AS-AP WorldLink Communications Pvt Ltd - NP
2021-09-15 15:39:14 36.91.36.29 TrickBot Online AS7713 TELKOMNET-AS-AP PT Telekomunikasi Indonesia - ID
2021-09-15 15:39:14 36.37.99.242 TrickBot Online AS4800 LINTASARTA-AS-AP Network Access Provider and Internet Service Provider - ID
2021-09-15 15:39:13 36.95.110.19 TrickBot Online AS7713 TELKOMNET-AS-AP PT Telekomunikasi Indonesia - ID
2021-09-15 15:39:12 103.127.67.38 TrickBot Online AS9341 ICONPLN-ID-AP-ISP PT INDONESIA COMNETS PLUS - ID
2021-09-15 15:39:11 103.94.0.178 TrickBot Online AS9341 ICONPLN-ID-AP-ISP PT INDONESIA COMNETS PLUS - ID
2021-09-15 15:39:09 139.255.199.196 TrickBot Online AS9905 LINKNET-ID-AP Linknet ASN - ID
2021-09-15 15:39:08 122.117.90.133 TrickBot Online AS3462 HINET Data Communication Business Group - TW
2021-09-15 15:39:04 176.100.4.31 TrickBot Online AS57422 PAVUTYNA-AS - UA
2021-09-03 07:43:24 186.4.193.75 TrickBot Online AS27947 Telconet S.A - EC
2021-08-11 13:16:33 125.234.128.250 TrickBot Online AS7552 VIETEL-AS-AP Viettel Group - VN
2021-08-11 07:45:05 75.176.235.182 TrickBot Online AS11426 TWC-11426-CAROLINAS - US
2021-08-11 07:44:52 43.252.158.104 TrickBot Online AS55666 GMEDIA-AS-ID PT Media Sarana Data - ID
2021-08-08 15:32:01 36.66.188.251 TrickBot Online AS7713 TELKOMNET-AS-AP PT Telekomunikasi Indonesia - ID
2021-08-03 19:00:03 182.253.210.130 TrickBot Online AS17451 BIZNET-AS-AP BIZNET NETWORKS - ID
2021-08-02 16:27:16 46.99.175.217 TrickBot Online AS21246 IPKO-AS XK
2021-08-02 09:26:01 185.164.32.148 TrickBot Online AS200698 GLOBALHOST-BOSNIA-AS - BA
2021-08-01 11:36:20 36.89.98.183 TrickBot Online AS7713 TELKOMNET-AS-AP PT Telekomunikasi Indonesia - ID
2021-07-31 19:58:44 103.140.207.110 TrickBot Online AS9341 ICONPLN-ID-AP-ISP PT INDONESIA COMNETS PLUS - ID
2021-07-30 23:46:31 103.238.203.82 TrickBot Online AS23679 NUSANET-AS-ID Media Antar Nusa PT. - ID
2021-07-30 22:31:21 36.67.97.127 TrickBot Online AS7713 TELKOMNET-AS-AP PT Telekomunikasi Indonesia - ID
2021-07-30 21:15:51 128.201.76.252 TrickBot Online AS266623 Pedro F Arruda Junior ME - BR
2021-07-30 19:14:45 181.129.167.82 TrickBot Online AS13489 EPM Telecomunicaciones S.A. E.S.P. - CO
2021-07-29 17:42:58 177.75.5.222 TrickBot Online AS28178 Networld Provedor e Servicos de Internet Ltda - BR
2021-07-04 18:30:08 182.253.106.35 TrickBot Online AS17451 BIZNET-AS-AP BIZNET NETWORKS - ID
2021-07-03 03:30:12 190.197.55.254 TrickBot Online AS10269 Belize Telemedia Limited - BZ
2021-07-02 09:30:06 5.34.74.210 TrickBot Online AS21299 KAR-TEL-AS Almaty, Republic of Kazakhstan - KZ
2021-07-01 07:27:52 170.238.117.187 TrickBot Online AS28669 America-NET Ltda. - BR
2021-06-30 20:00:40 24.162.214.166 TrickBot Online AS11427 TWC-11427-TEXAS - US
2021-06-22 11:09:49 190.145.83.98 TrickBot Online AS14080 Telmex Colombia S.A. - CO
2021-06-22 11:09:48 148.235.154.164 TrickBot Online AS8151 Uninet S.A. de C.V. - MX
2021-06-18 08:53:41 91.235.129.8 TrickBot Online AS21100 ITLDC-NL - NL
2021-05-29 01:04:21 91.83.88.122 TrickBot Online AS12301 INVITECH - HU
2021-05-23 12:57:48 103.164.180.66 TrickBot Online AS141911 IDNIC-DISKOMINFO-BANGKALAN-AS-ID Dinas Komunikasi dan Informatika Kabupaten Bangkalan - ID
2021-04-15 22:29:14 87.97.178.92 TrickBot Online AS13124 IBGC - BG
2021-04-13 07:32:31 91.243.125.5 TrickBot Online AS197998 AFKGROUP-AS - RU
2021-04-13 07:32:31 181.143.251.154 TrickBot Online AS13489 EPM Telecomunicaciones S.A. E.S.P. - CO
2021-04-13 07:32:31 185.94.172.15 TrickBot Online AS34123 NETORN-AS - RU
2021-04-13 07:32:30 87.97.178.92 TrickBot Online AS13124 IBGC - BG
2021-04-13 07:29:54 77.232.163.203 TrickBot Online AS44391 ESD-AS - RU
2021-04-09 08:37:23 181.143.251.154 TrickBot Online AS13489 EPM Telecomunicaciones S.A. E.S.P. - CO
2021-04-09 06:56:12 94.28.78.200 TrickBot Online AS12772 ENFORTA-AS Enforta Autonomous System - RU
2021-03-24 14:51:47 108.55.14.158 TrickBot Online AS701 UUNET - US
2021-03-23 14:15:14 216.177.161.118 TrickBot Online AS16527 GVTCINTERNET - US
2021-03-07 23:49:28 62.64.9.237 TrickBot Online AS25159 SONICDUO-AS - RU
2021-03-05 21:29:01 111.235.66.83 TrickBot Online AS18002 WORLDPHONE-IN AS Number for Interdomain Routing - IN
2021-03-04 03:09:22 103.73.102.174 TrickBot Online AS136969 KKNETWROK-AS-AP KK Networks (Pvt) Ltd. - PK
2021-03-02 17:58:10 85.88.174.94 TrickBot Online AS34137 RUAMUR-AS - RU
2021-02-23 11:15:18 5.182.210.132 TrickBot Online AS64425 SKB-ENTERPRISE - NL
7

Das SANS und Malware-Brad warnen auch vor „Emotet’s return“ .

Abuse.ch ist mit seinen Plattformen und Services: SSL-Blacklist, Malware-Bazaar, Urlhaus, Threatfox, und Feodotracker, immer einen Blick wert.

Über ihren Blogpost Bulletproof-Hosting mit Namecoin/Dot-Bit 2017, kam ich das erste Mal auf ihre Seite: „Malware meets Dotbit“.

https://abuse.ch/blog/dot-bit-the-next-generation-of-bulletproof-hosting/

Ps: würde gern öfter was über Hackversuche, Behördenanfragen und so lesen, wenns denn vorkommt. Als Statistik, wie einen Transparenzbericht, mal als Anregung.

1 „Gefällt mir“
8

die Jungs von AcrosSecurity erklären gängige Angriffs-Szenarien & -Vektoren recht verständlich: Session-Fixation/-Hijacking, File-/Binary-Planting, Online-Banking, User-/Browser-/Man-in the Middle.

auch zur „Anatomy of Online- Bank Robbery“

für ganz mutige: „How to rob an online-bank and get away with it“

9
Firstseen (UTC) Host Malware Status Network (ASN) Country
2021-11-25 17:20:05 188.165.214.166 Emotet Online AS16276 OVH - FR
2021-11-25 17:05:07 41.76.108.46 Emotet Online AS327979 DIAMATRIX - ZA
2021-11-20 16:45:09 51.79.205.117 Emotet Online AS16276 OVH - SG
2021-11-20 16:45:08 104.130.140.69 Emotet Online AS33070 RMH-14 - US
2021-11-20 16:45:07 178.79.144.87 Emotet Online AS63949 LINODE-AP Linode, LLC - GB
2021-11-20 16:45:06 51.178.186.134 Emotet Online AS16276 OVH - FR
2021-11-20 16:45:06 51.91.142.158 Emotet Online AS16276 OVH - FR
2021-11-17 17:00:38 122.129.203.163 Emotet Online AS38763 CYBERBINTAN-AS-ID PT. Cyber Bintan - ID
2021-11-17 17:00:37 31.220.49.39 Emotet Offline AS47583 AS-HOSTINGER - CY
2021-11-17 04:55:35 62.210.200.63 Emotet Online AS12876 Online SAS - FR
2021-11-16 23:55:38 191.252.196.221 Emotet Offline AS27715 Locaweb Servicos de Internet SA - BR
2021-11-16 23:00:35 91.200.186.228 Emotet Offline AS43962 INTEN - PL
2021-11-16 18:20:39 202.29.239.161 Emotet Online AS4621 UNINET-AS-AP UNINET- - TH
2021-11-16 15:30:05 185.184.25.237 Emotet Online AS209711 MUVHOST - TR
2021-11-16 12:57:52 103.161.172.108 Emotet Online AS135951 WEBICO-AS-VN Webico Company Limited - VN
2021-11-16 12:57:48 93.188.167.97 Emotet Online AS47583 AS-HOSTINGER - CY
2021-11-16 12:57:47 163.172.50.82 Emotet Online AS12876 Online SAS - FR
2021-11-16 06:57:31 45.79.33.48 Emotet Offline AS63949 LINODE-AP Linode, LLC - US
2021-11-16 06:14:59 210.57.217.132 Emotet Online AS38142 UNAIR-AS-ID Universitas Airlangga - ID
2021-11-16 06:14:54 51.68.175.8 Emotet Online AS16276 OVH - FR
2021-11-15 19:41:19 177.72.80.14 Emotet Online AS262543 BRMOM CONSTRUINDO CONEXOES LTDA - BR
2021-11-15 19:25:04 51.210.242.234 Emotet Online AS16276 OVH - FR
2021-11-15 19:25:03 51.178.61.60 Emotet Online AS16276 OVH - FR
2021-11-15 19:25:02 196.44.98.190 Emotet Offline AS327814 Ecoband - GH
2021-11-15 19:24:59 185.148.169.10 Emotet Offline AS24679 SSERV-AS - DE
2021-11-15 19:24:41 142.4.219.173 Emotet Online AS16276 OVH - CA
2021-11-15 19:13:43 168.197.250.14 Emotet Online AS264776 Omar Anselmo Ripoll TDC NET - AR
2021-11-15 17:59:19 94.177.248.64 Emotet Offline AS199883 ARUBACLOUDLTD-ASN - GB
2021-11-15 17:59:18 81.0.236.93 Emotet Offline AS15685 CASABLANCA-AS Internet & Collocation Provider - CZ
2021-11-15 17:59:17 66.42.55.5 Emotet Offline AS20473 AS-CHOOPA - SG
2021-11-15 17:59:12 45.76.176.10 Emotet Offline AS20473 AS-CHOOPA - SG
2021-11-15 17:59:07 188.93.125.116 Emotet Offline AS35779 MCLOUD-AS - RS
2021-11-15 17:59:06 103.8.26.103 Emotet Online AS132241 SKSATECH1-MY SKSA TECHNOLOGY SDN BHD - MY
2021-11-15 17:59:02 103.8.26.102 Emotet Online AS132241 SKSATECH1-MY SKSA TECHNOLOGY SDN BHD - MY

Einige der C2C - Büchsen sind wohl ausgetauscht worden innerhalb der letzten 9 Tage, aber alle durch die Bank online for Infection!!
Die Kids hinter Emotet haben ja nun mal auch Bläck Fräydäy und Bläck Wiek…da gibts viel abzuspachteln im Netz :bangbang:

10

Aktuelle Emotet C2C-Server Liste am 13.12.2021:

Search:

Firstseen (UTC) Host Malware Status Network (ASN) Country
2021-12-07 16:20:11 131.100.24.199 Emotet Online AS61635 GOPLEX TELECOMUNICACOES E INTERNET LTDA - ME - BR
2021-12-07 16:20:08 176.31.163.17 Emotet Online AS16276 OVH - FR
2021-12-03 00:05:09 202.29.237.113 Emotet Online AS4621 UNINET-AS-AP UNINET- - TH
2021-12-03 00:05:09 164.90.159.54 Emotet Online AS14061 DIGITALOCEAN-ASN - US
2021-12-03 00:05:09 91.207.181.106 Emotet Online AS48275 TSMS-ABKHAZIA-AS - RU
2021-12-03 00:00:12 116.124.128.206 Emotet Online AS9318 SKB-AS SK Broadband Co Ltd - KR
2021-12-02 09:10:08 172.104.227.98 Emotet Online AS63949 LINODE-AP Linode, LLC - DE
2021-11-30 22:40:10 119.59.125.140 Emotet Online AS56067 METRABYTE-TH 453 Ladplacout Jorakhaebua - TH
2021-11-30 16:40:05 46.55.222.11 Emotet Online AS51582 DCC- - BG
2021-11-30 16:35:09 128.199.192.135 Emotet Online AS14061 DIGITALOCEAN-ASN - SG
2021-11-25 17:05:07 41.76.108.46 Emotet Online AS327979 DIAMATRIX - ZA
2021-11-20 16:45:09 51.79.205.117 Emotet Online AS16276 OVH - SG
2021-11-20 16:45:06 51.178.186.134 Emotet Online AS16276 OVH - FR
2021-11-20 16:45:06 51.91.142.158 Emotet Online AS16276 OVH - FR
2021-11-17 17:00:38 122.129.203.163 Emotet Online AS38763 CYBERBINTAN-AS-ID PT. Cyber Bintan - ID
2021-11-16 18:20:39 202.29.239.161 Emotet Online AS4621 UNINET-AS-AP UNINET- - TH
2021-11-16 15:30:05 185.184.25.237 Emotet Online AS209711 MUVHOST - TR
2021-11-16 06:14:59 210.57.217.132 Emotet Online AS38142 UNAIR-AS-ID Universitas Airlangga - ID
2021-11-15 19:41:19 177.72.80.14 Emotet Online AS262543 BRMOM CONSTRUINDO CONEXOES LTDA - BR
2021-11-15 19:25:04 51.210.242.234 Emotet Online AS16276 OVH - FR
2021-11-15 19:25:03 51.178.61.60 Emotet Online AS16276 OVH - FR
2021-11-15 19:24:41 142.4.219.173 Emotet Online AS16276 OVH - CA
2021-11-15 19:13:43 168.197.250.14 Emotet Online AS264776 Omar Anselmo Ripoll TDC NET - AR
2021-11-15 17:59:06 103.8.26.103 Emotet Online AS132241 SKSATECH1-MY SKSA TECHNOLOGY SDN BHD - MY
2021-11-15 17:59:02 103.8.26.102 Emotet Online AS132241 SKSATECH1-MY SKSA TECHNOLOGY SDN BHD - MY