ThreatFox IOC Database

You are viewing the ThreatFox database entry for url http://185.112.83.116:80/_/scs/mail-static/_/js/.

Database Entry


IOC ID:295293
IOC: http://185.112.83.116:80/_/scs/mail-static/_/js/
IOC Type :url
Threat Type :botnet_cc
Malware: Cobalt Strike
Malware alias:Agentemis, BEACON, CobaltStrike
Confidence Level : Confidence level is moderate (50%)
First seen:2022-01-14 20:08:51 UTC
Last seen:never
UUID:caa040fd-7575-11ec-8ab6-42010aa4000a
Reporter @HarioMenkel
Reward 10 credits from anonymous
Tags:CobaltStrike

Twitter
@HarioMenkel
[ Download URL of Beacon ]
http://185.112.83.116/
[ Extracted Beacon Config ]
BeaconType: ['HTTP']
Port: 80
SleepTime: 3000
MaxGetSize: 1049376
Jitter: 15
MaxDNS: 255
PublicKey: b'0\x81\x9f0\r\x06\t*\x86H\x86\xf7\r\x01\x01\x01\x05\x00\x03\x81\x8d\x000\x81\x89\x02\x81\x81\x00\xee\x92\xe6AbMI\xaa3\x05\x15e\xa9\xa4w\x1b\xc2\xe65\xff\xd7?\n*E\xd1]w\x85T\xfa\xb9\x02\x9b^\xe4,\r\n\xfb5\x86\xafrB\x83Y\xd7\xaf\xe3\xedq^\x89`}\xe1\x15t\x1a\x91\x04\xec\xd5\xb1\x88W\x96\xcf\xe8\xb8X\x96\x99G\x92}\x15\x0c\xcaD\xf1M\x01~\xd2\xdd\x02\xe7\xa0\xc2"\xf9\x0f\x1d\xb7\xa6]\xcal\xd4u\x8bT5H\x9f92\x18\x11\x92\x80\xa1\xce\x9a\x14\xc8\xb9\x00\xb5~\x97\xd0\x87\xb6\x18\x07\x02\x03\x01\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
PublicKey_MD5: 462bea7987f94132fae60cb970129126
C2Server: 185.112.83.116,/_/scs/mail-static/_/js/
UserAgent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; MALC)
HttpPostUri: /mail/u/0/
Malleable_C2_Instructions: ['Remove 375 bytes from the end', 'Remove 250 bytes from the end', 'Remove 4 bytes from the beginning', 'Remove 28 bytes from the beginning', 'Remove 36 bytes from the beginning', 'Remove 18 bytes from the beginning', 'Remove 4 bytes from the beginning', 'Remove 28 bytes from the beginning', 'Remove 36 bytes from the beginning', 'Remove 17 bytes from the beginning', 'Remove 4 bytes from the beginning']
HttpGet_Metadata: {'ConstHeaders': ['Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8', 'Accept-Language: en-US,en;q=0.5', 'Accept-Encoding: gzip, deflate', 'DNT: 1'], 'ConstParams': [], 'Metadata': ['base64', 'prepend "OSID="', 'header "Cookie"'], 'SessionId': [], 'Output': []}
HttpPost_Metadata: {'ConstHeaders': ['Content-Type: application/x-www-form-urlencoded;charset=utf-8'], 'ConstParams': ['ui=d3244c4707', 'hop=6928632', 'start=0'], 'Metadata': [], 'SessionId': ['base64', 'prepend "OSID="', 'header "Cookie"'], 'Output': ['base64', 'print']}
SpawnTo: b'\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
PipeName:
DNS_Idle: 8.8.4.4
DNS_Sleep: 0
SSH_Host: Not Found
SSH_Port: Not Found
SSH_Username: Not Found
SSH_Password_Plaintext: Not Found
SSH_Password_Pubkey: Not Found
SSH_Banner:
HttpGet_Verb: GET
HttpPost_Verb: POST
HttpPostChunk: 0
Spawnto_x86: %windir%\syswow64\rundll32.exe
Spawnto_x64: %windir%\sysnative\rundll32.exe
CryptoScheme: 0
Proxy_Config: Not Found
Proxy_User: Not Found
Proxy_Password: Not Found
Proxy_Behavior: Use IE settings
Watermark: 0
bStageCleanup: False
bCFGCaution: False
KillDate: 0
bProcInject_StartRWX: True
bProcInject_UseRWX: True
bProcInject_MinAllocSize: 0
ProcInject_PrependAppend_x86: Empty
ProcInject_PrependAppend_x64: Empty
ProcInject_Execute: ['CreateThread', 'SetThreadContext', 'CreateRemoteThread', 'RtlCreateUserThread']
ProcInject_AllocationMethod: VirtualAllocEx
ProcInject_Stub: b'\x18z\xb8\xf9\x80\x98\xde\x95qF\x13\xf8TL\x96\x13'
bUsesCookies: True
HostHeader:
smbFrameHeader: b'\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
tcpFrameHeader: b'\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
headersToRemove: Not Found
DNS_Beaconing: Not Found
DNS_get_TypeA: Not Found
DNS_get_TypeAAAA: Not Found
DNS_get_TypeTXT: Not Found
DNS_put_metadata: Not Found
DNS_put_output: Not Found
DNS_resolver: Not Found
DNS_strategy: Not Found
DNS_strategy_rotate_seconds: Not Found
DNS_strategy_fail_x: Not Found
DNS_strategy_fail_seconds: Not Found