ThreatFox IOC Database

You are viewing the ThreatFox database entry for url https://8.210.224.18:443/messages/2i2ga6wsJrx4E0XcHUU3kbGU-cRd4La.

Database Entry


IOC ID:295212
IOC: https://8.210.224.18:443/messages/2i2ga6wsJrx4E0XcHUU3kbGU-cRd4La
IOC Type :url
Threat Type :botnet_cc
Malware: Cobalt Strike
Malware alias:Agentemis, BEACON, CobaltStrike
Confidence Level : Confidence level is moderate (50%)
First seen:2022-01-14 12:19:27 UTC
Last seen:never
UUID:379a890d-7534-11ec-8ab6-42010aa4000a
Reporter @HarioMenkel
Reward 10 credits from anonymous
Tags:CobaltStrike

Twitter
@HarioMenkel
[ Download URL of Beacon ]
https://8.210.224.18/
[ Extracted Beacon Config ]
BeaconType: ['HTTPS']
Port: 443
SleepTime: 10000
MaxGetSize: 1399701
Jitter: 50
MaxDNS: Not Found
PublicKey: b'0\x81\x9f0\r\x06\t*\x86H\x86\xf7\r\x01\x01\x01\x05\x00\x03\x81\x8d\x000\x81\x89\x02\x81\x81\x00\xa3\xa9T\x86\xed}\xb2\xbb\xae\x9cd0\x88*v9U\x98\xa0\xda\x06\x9e\x85\xf9\xa8Pm\xdfF\x86r!\xdc\x10\'\x81\x1f\x80uj\xae\x87\x92\x9eU?\x94\x12?c|"\x83\x90H\x90\xc8\x03-\xc2B>\xeb[\x07\x02k\xe6\x14\x15\xad\xcb\xee \xbd\x80P7\x9f\xd6\x8e\x97`Zu\x93\xcdd\x81\xfb\xd3r\xdd\xef\xad\xd9$\x85\xbc\xc3\xe9\xadh\x87|\xa2W\xf8\xc7hs*\xe6\xda\x92\xb1\xd9$\xe8#\x1e\x81\x9c&\xfb\xb8\x99\x9d\x02\x03\x01\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
PublicKey_MD5: 9ecd74a4a1c059f46e9f3653f0ce46fc
C2Server: 8.210.224.18,/messages/2i2ga6wsJrx4E0XcHUU3kbGU-cRd4La
UserAgent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36
HttpPostUri: /messages/0xvOMLHkPA0qv3sCfDFg
Malleable_C2_Instructions: ['Remove 1190 bytes from the end', 'Remove 12 bytes from the end', 'Remove 397 bytes from the beginning', 'Base64 URL-safe decode']
HttpGet_Metadata: {'ConstHeaders': ['Host: 123.123.123.123', 'Accept: */*', 'Accept-Language: en-US', 'Connection: close'], 'ConstParams': [], 'Metadata': ['base64url', 'append ";_ga=GA1.2.875"', 'append ";__ar_v4=%8867UMDGS643"', 'prepend "d="', 'prepend "_ga=GA1.2.875;"', 'prepend "b=.12vPkW22o;"', 'header "Cookie"'], 'SessionId': [], 'Output': []}
HttpPost_Metadata: {'ConstHeaders': ['Host: 123.123.123.123', 'Accept: */*', 'Accept-Language: en-US'], 'ConstParams': [], 'Metadata': [], 'SessionId': ['base64url', 'prepend "GA1."', 'header "_ga"'], 'Output': ['base64url', 'append ";_ga=GA1.2.875"', 'append "__ar_v4=%8867UMDGS643"', 'prepend "d="', 'prepend "_ga=GA1.2.875;"', 'prepend "b=.12vPkW22o;"', 'header "Cookie"']}
SpawnTo: b'\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
PipeName: Not Found
DNS_Idle: Not Found
DNS_Sleep: Not Found
SSH_Host: Not Found
SSH_Port: Not Found
SSH_Username: Not Found
SSH_Password_Plaintext: Not Found
SSH_Password_Pubkey: Not Found
SSH_Banner:
HttpGet_Verb: GET
HttpPost_Verb: POST
HttpPostChunk: 96
Spawnto_x86: %windir%\syswow64\dtdump.exe
Spawnto_x64: %windir%\sysnative\dtdump.exe
CryptoScheme: 0
Proxy_Config: Not Found
Proxy_User: Not Found
Proxy_Password: Not Found
Proxy_Behavior: Use IE settings
Watermark: 1234567890
bStageCleanup: True
bCFGCaution: False
KillDate: 0
bProcInject_StartRWX: False
bProcInject_UseRWX: False
bProcInject_MinAllocSize: 45953
ProcInject_PrependAppend_x86: [b'\x90\x90\x90\x90\x90\x90\x90\x90\x90', 'Empty']
ProcInject_PrependAppend_x64: [b'\x90\x90\x90\x90\x90\x90\x90\x90\x90', 'Empty']
ProcInject_Execute: ['ntdll.dll:RtlUserThreadStart', 'NtQueueApcThread-s', 'SetThreadContext', 'CreateRemoteThread', 'kernel32.dll:LoadLibraryA', 'RtlCreateUserThread']
ProcInject_AllocationMethod: NtMapViewOfSection
ProcInject_Stub: b'"+\x8f\'\xdb\xdf\xba\x8d\xddU\x9e\xec\xa2~\xa6H'
bUsesCookies: True
HostHeader:
smbFrameHeader: b'\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
tcpFrameHeader: b'\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
headersToRemove: Not Found
DNS_Beaconing: Not Found
DNS_get_TypeA: Not Found
DNS_get_TypeAAAA: Not Found
DNS_get_TypeTXT: Not Found
DNS_put_metadata: Not Found
DNS_put_output: Not Found
DNS_resolver: Not Found
DNS_strategy: round-robin
DNS_strategy_rotate_seconds: -1
DNS_strategy_fail_x: -1
DNS_strategy_fail_seconds: -1