ThreatFox IOC Database

You are viewing the ThreatFox database entry for url http://111.123.50.42:80/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books.

Database Entry


IOC ID:295204
IOC: http://111.123.50.42:80/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books
IOC Type :url
Threat Type :botnet_cc
Malware: Cobalt Strike
Malware alias:Agentemis, BEACON, CobaltStrike
Confidence Level : Confidence level is moderate (50%)
First seen:2022-01-14 11:57:57 UTC
Last seen:never
UUID:3717d1ec-7531-11ec-8ab6-42010aa4000a
Reporter @HarioMenkel
Reward 10 credits from anonymous
Tags:CobaltStrike

Twitter
@HarioMenkel
[ Download URL of Beacon ]
http://150.158.23.116:80/
[ Extracted Beacon Config ]
BeaconType: ['HTTP']
Port: 80
SleepTime: 5000
MaxGetSize: 1048576
Jitter: 0
MaxDNS: Not Found
PublicKey: b'0\x81\x9f0\r\x06\t*\x86H\x86\xf7\r\x01\x01\x01\x05\x00\x03\x81\x8d\x000\x81\x89\x02\x81\x81\x00\x9b\xd2qUG6\x81t\xc53\x14U\xf2`\n\xe5\xb3H\xd4)\x13\xe4\x9cu\x9c9\x12\xd2\xea\xe0\x90\xdc\xc1\xbf\x80c\x96/\x12S\xbdX\xd32=\x0c}\xe7\xc0&:\xfaQAO\xa1r\x17\x87o\xd6\xe5y9\x8e8\xdd\x19o\xe0\xc0k\xf0\xaaC\x18\xf6\xbeS\x81O\x1fHPu}\xd0\xce6[\xd4\x07g\x1b\x9d\x04\x03$[\xcc\xca\x1bn\xd3\x1ai k~\x98 u\x0e\xf4\xf7\n|\x08p\xfc\x9c\xac\xb34\x10\xc5\x17\xbf\x02\x03\x01\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
PublicKey_MD5: ecf7a4eba471470d6fa06999050b5924
C2Server: 111.123.50.42,/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books,59.63.235.44,/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books,124.227.184.35,/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books
UserAgent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
HttpPostUri: /N4215/adj/amzn.us.sr.aps
Malleable_C2_Instructions: []
HttpGet_Metadata: {'ConstHeaders': ['Accept: */*', 'Host: arrogancly.cn'], 'ConstParams': [], 'Metadata': ['base64', 'prepend "session-token="', 'prepend "skin=noskin;"', 'append "csm-hit=s-24KU11BB82RZSYGJ3BDK|1419899012996"', 'header "Cookie"'], 'SessionId': [], 'Output': []}
HttpPost_Metadata: {'ConstHeaders': ['Accept: */*', 'Content-Type: text/xml', 'X-Requested-With: XMLHttpRequest', 'Host: arrogancly.cn'], 'ConstParams': ['sz=160x600', 'oe=oe=ISO-8859-1;', 's=3717', 'dc_ref=http%3A%2F%2Farrogancly.cn'], 'Metadata': [], 'SessionId': ['parameter "sn"'], 'Output': ['base64', 'print']}
SpawnTo: b'\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
PipeName: Not Found
DNS_Idle: Not Found
DNS_Sleep: Not Found
SSH_Host: Not Found
SSH_Port: Not Found
SSH_Username: Not Found
SSH_Password_Plaintext: Not Found
SSH_Password_Pubkey: Not Found
SSH_Banner:
HttpGet_Verb: GET
HttpPost_Verb: POST
HttpPostChunk: 0
Spawnto_x86: %windir%\syswow64\rundll32.exe
Spawnto_x64: %windir%\sysnative\rundll32.exe
CryptoScheme: 0
Proxy_Config: Not Found
Proxy_User: Not Found
Proxy_Password: Not Found
Proxy_Behavior: Use IE settings
Watermark: 1234567890
bStageCleanup: False
bCFGCaution: False
KillDate: 0
bProcInject_StartRWX: True
bProcInject_UseRWX: True
bProcInject_MinAllocSize: 0
ProcInject_PrependAppend_x86: Empty
ProcInject_PrependAppend_x64: Empty
ProcInject_Execute: ['CreateThread', 'SetThreadContext', 'CreateRemoteThread', 'RtlCreateUserThread']
ProcInject_AllocationMethod: VirtualAllocEx
ProcInject_Stub: b'\xc2S\xbbi/K\xef\x85t\x1e\xe5p\x92g\xdd\xed'
bUsesCookies: True
HostHeader:
smbFrameHeader: b'\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
tcpFrameHeader: b'\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
headersToRemove: Not Found
DNS_Beaconing: Not Found
DNS_get_TypeA: Not Found
DNS_get_TypeAAAA: Not Found
DNS_get_TypeTXT: Not Found
DNS_put_metadata: Not Found
DNS_put_output: Not Found
DNS_resolver: Not Found
DNS_strategy: round-robin
DNS_strategy_rotate_seconds: -1
DNS_strategy_fail_x: -1
DNS_strategy_fail_seconds: -1