RedLine Stealer - Lo que necesitas saber

RedLine Stealer es un malware de robo de datos que puede extraer información confidencial de tu PC. Aprende sobre los peligros de este malware, cómo se propaga y qué puedes hacer para proteger tus datos.

Quiz√°s le interese echar un vistazo a nuestras otras herramientas antivirus:
Trojan Killer, Trojan Scanner.

RedLine Stealer Malware | Informe de Investigación 2023

¬ŅQu√© es RedLine Stealer?

April 30, 2023

Solo unas pocas cosas alcanzarán la cima de las listas, esa regla funciona para casi todo. El malware no es una excepción, y RedLine Stealer muestra cuál es la verdadera diferencia entre los ejemplos de malware comunes y avanzados.

RedLine es un malware stealer que tiene como objetivo principal las credenciales bancarias, pero que también es capaz de extraer otra información. Su enfoque clave es piratear los navegadores web de las víctimas para recopilar información de cuenta, datos de AutoFill y cualquier otra cosa valiosa que pueda estar ubicada allí. Los controles convenientes junto con características de detección y análisis incorporadas lo hicieron uno de los stealers más populares y prolíficos presentes en el mercado. Otra cosa notable con respecto a RedLine Stealer son sus formas de propagación que difieren de la propagación regular a través de correo no deseado.

Muestras de RedLine Stealer

Las primeras menciones de este malware datan de principios de 2020, pero el primer pico notable de actividad ocurri√≥ medio a√Īo despu√©s. Se propaga bajo el modelo de Malware-as-a-service, principalmente a trav√©s de anuncios en grupos de Telegram. Los planes de suscripci√≥n var√≠an desde $100 por una semana hasta $800 por una "licencia" de por vida para RedLine. Se proporciona una muestra junto con un "crypter" -un software espec√≠fico utilizado para cifrar la muestra de malware antes de desplegarla. Este procedimiento disminuye la posibilidad de detecci√≥n y complica los intentos de an√°lisis.

Publicación de Telegram de Redline
Bot que los desarrolladores de RedLine usan para vender y promocionar su malware

La propagación de RedLine Stealer

Como se mencion√≥ anteriormente, RedLine Stealer aplica algunas formas √ļnicas de autopropagaci√≥n, diferentes de las consideradas habituales en la actualidad. El correo electr√≥nico no solicitado es efectivo y econ√≥mico, pero llama demasiado la atenci√≥n. Los delincuentes que difunden este malware tienen sus propias opciones, a pesar de aplicar el spam en ciertos casos. Y parece que han perfeccionado sus enfoques lo suficiente como para superar a todos los competidores.

Spam en redes sociales

Las cuentas de redes sociales, especialmente las que pertenecen a celebridades u organizaciones conocidas, son generalmente confiables para sus suscriptores. Facebook, Twitter, Instagram: cualquier red social accesible desde la PC servirá, el punto clave es encontrar cuentas que tengan la mayor confianza. La ingeniería social, o la inyección previa de malware, proporciona a los hackers las credenciales de la cuenta y aquí comienza el espectáculo.

Los delincuentes que utilizan este método para propagar RedLine raramente caen en el spam obvio que puede ser fácilmente reconocido. En su lugar, intentan parecer lo suficientemente convincentes con pancartas que incluyen detalles sobre la organización o persona, y están relacionadas con su negocio habitual. Por ejemplo, utilizando la cuenta de un proveedor de servicios de Internet, los hackers hicieron una publicación con un enlace que llevaba a la descarga de RedLine Stealer, que promovía software gratuito de Adobe. Es algo que las personas pueden esperar de un proveedor y apreciarán tal cuidado por sus clientes, y así comerán el cebo.

Publicación de Telegram de Redline Stealer
Publicaci√≥n de la cuenta secuestrada de un ISP brasile√Īo que conten√≠a un enlace para descargar RedLine

Malware dropper

El dropper, o descargador, es un tipo de malware utilizado para entregar otro malware al equipo infectado. Amplias redes de computadoras que ejecutan un dropper se ofrecen ampliamente en la Darknet, por lo que cualquiera puede pagar por cargar su malware en estos PCs. Los maestros de RedLine no desprecian este método de propagación, ya que ha demostrado ser bastante eficiente. Los problemas pueden aparecer si la red ya está "usada", es decir, si ya se entregó una gran cantidad de otro malware, y es probable que la mayor parte de la información valiosa ya haya sido extraída.

RedLine Stealer se aplica a veces como carga √ļtil "instant√°nea" de droppers. Esto ocurre cuando los hackers buscan ingresar al sistema de la manera m√°s sigilosa posible, y luego, despu√©s de obtener acceso inicial, despliegan su propia l√≠nea de programas maliciosos. Esto ocurre t√≠picamente con el backdoor SmokeLoader, que a su vez se entrega a menudo junto con el ransomware STOP/Djvu. Adem√°s, las muestras de este malware entregadas por un dropper son seriamente distintas de las entregadas de otra manera.

Malvertising en Google Search

Google se considera una plataforma de publicidad confiable, donde tanto los usuarios como los anunciantes pueden estar seguros de lo que ven y hacen clic. Pero como dice el refr√°n, nunca digas nunca. Eventos recientes con un flujo masivo de anuncios maliciosos en los resultados de b√ļsqueda de Google se convirtieron en un m√©todo muy potente de propagaci√≥n de malware. Este no es el primer caso en que algo malicioso se desliza en los anuncios de Google, pero la escala del caso actual es sin precedentes. Con m√°s frecuencia, estos sitios replican los sitios web de desarrolladores de software gratuito o las p√°ginas oficiales para descargar alg√ļn software auxiliar, como controladores o kits de herramientas.

Ejemplo t√≠pico de anuncios de b√ļsqueda de Google inundados de enlaces maliciosos
Ejemplo t√≠pico de anuncios de b√ļsqueda de Google inundados de enlaces maliciosos

En este caso, el malware est√° enmascarado como un paquete de software leg√≠timo - un archivo ZIP. El nombre del archivo se asemeja a lo que se supone que la v√≠ctima descargar√°, haci√©ndola bajar la guardia. Al mismo tiempo, la muestra dentro de este archivo est√° llena de secciones nulas, por lo que superar√° el l√≠mite de tama√Īo de ciertos sandboxes y software anti-malware. Sin embargo, conserva toda la funcionalidad de una muestra regular de RedLine Stealer y est√° lista para causar estragos como de costumbre despu√©s de la descompresi√≥n.

An√°lisis de RedLine Stealer

En primer lugar, echemos un vistazo a la forma en que RedLine se desenvuelve despu√©s de ser entregado al sistema objetivo. Anteriormente mencionamos el "criptor", utilizado para proteger las cadenas de malware antes de que sean lanzadas. Junto con la ofuscaci√≥n y el empaquetado √ļnico para cada muestra, esta herramienta de cifrado hace que la muestra sea bastante dif√≠cil de detectar, a pesar de la relativa facilidad de su an√°lisis. Al estar basado en C#, RedLine no es muy complicado para las herramientas de ingenier√≠a inversa, por lo que revertir el trabajo del compilador y ver el c√≥digo no es una tarea dif√≠cil.

Una caracter√≠stica distintiva de RedLine en comparaci√≥n con otros malware es la forma en que llega. Es un archivo binario que contiene una amplia selecci√≥n de c√≥digo basura, que confunde la detecci√≥n anti-malware. La carga real est√° contenida en un archivo .cab, cifrado con RC4 y colocado entre la secci√≥n de un binario mencionado. Tres archivos de este archivo son la carga real, el script que la ejecuta y un script. Este √ļltimo comprueba el entorno en busca de la presencia de procesos en ejecuci√≥n de software anti-malware. Primero de otras cosas, este script se lanza y si detecta la presencia de programas anti-malware definidos, la ejecuci√≥n posterior se cancela. Pero cuando la comprobaci√≥n se realiza sin problemas, simplemente pasa la ejecuci√≥n a una carga √ļtil real.

RedLine decryption script
Cadena de descifrado de RedLine

Para ejecutarse, el malware se apoya en un cargador; las √ļltimas versiones de RedLine Stealer utilizan un script de AutoIt adjunto al paquete principal, pero nada impide que use cualquier otra variante de c√≥digo de shell. Este script ofuscado es necesario para descifrar cadenas de malware, crear facilidades para una mayor ejecuci√≥n de malware y hacer que se ejecute la carga √ļtil. Para almacenar todos los contenidos del archivo .cab que mencionamos anteriormente, crea una carpeta en el directorio Usuarios/Temp. Tambi√©n copia una biblioteca ntdll.dll, la renombra y la agrega a esta carpeta; todas las llamadas posteriores a esta biblioteca se dirigir√°n a esta instancia en lugar de a la original. Esto, muy probablemente, es otra medida anti-detecci√≥n - las soluciones EDR a menudo verifican las llamadas a las bibliotecas del sistema.

El establecimiento de persistencia en el entorno atacado se hace con el uso del Programador de tareas. Además de eso, RedLine Stealer crea otra carpeta en el directorio Temp, que se necesita para almacenar el script de carga de malware (el que describimos anteriormente). Usando la línea de comandos, el malware crea una tarea para ejecutar este script cada 3 minutos.

Entrada del Programador de tareas de RedLine Stealer
Tarea creada por RedLine para recargarse periódicamente

Propagación a través del malware de descarga

La mayor parte del tiempo, RedLine Stealer aparece como un malware independiente, y esto dicta la forma de lanzamiento que describimos anteriormente. Sin embargo, en los ataques a objetivos avanzados, como organizaciones, es m√°s com√ļn el uso de descargadores, cuya furtividad es una opci√≥n mucho mejor para entornos bien protegidos. Esto, a su vez, cambia la cadena de acciones que preceden a la ejecuci√≥n del malware. La mayor√≠a de los cambios se concentran en el hecho de que RedLine se entrega sin partes "enmascaradoras" excesivas del archivo binario. Sin embargo, la encriptaci√≥n profunda recomendada por los desarrolladores de malware es suficiente para evitar la detecci√≥n con esta forma de propagaci√≥n.

Despu√©s de infiltrarse en el sistema infectado y lanzarse, se inicia un shellcode. Su prop√≥sito com√ļn es descifrar RedLine Stealer y ocultarlo en un proceso del sistema para hacerlo sigiloso. Usando una clave de cifrado XTEA incrustada, descifra el DLL que en realidad es un malware en forma de ensamblado .NET. Para colocar las cadenas descifradas y descomprimidas, RedLine asigna un √°rea de memoria utilizando la funci√≥n VirtualAlloc, y la asegura con el privilegio PAGE_EXECUTE_READWRITE.

RedLine Stealer Loader
El cargador crea un √°rea de memoria

En la siguiente etapa, se pasa la ejecuci√≥n a otra parte del binario que realiza verificaciones anti-an√°lisis. Pero en lugar de la enumeraci√≥n de procesos m√°s habitual y la b√ļsqueda de aquellos que corresponden a sandboxes o m√°quinas virtuales, verifica valores espec√≠ficos del entorno y ejecuta DLL. Si la variable Cor_Enable_profiling es verdadera (es decir, 0x1), el malware omitir√° cualquier otra ejecuci√≥n. Lo mismo se hace si hay clrjit.dll o mscorjit.dll - bibliotecas utilizadas en procedimientos de depuraci√≥n del Framework .NET.

Si se pasan las verificaciones, el malware procede con la carga de la parte principal de su ensamblado desde la sección de Recursos. Para llamar a la nueva instancia del Framework .NET, el malware juega con mscoree.dll, en realidad, con su función CLRCreateInstance. Después de eso, RedLine Stealer termina el proceso de desencriptación llamando a la función Assembly.Load.

RedLine Stealer loader launch
Etapa final del proceso de desencriptación de RedLine, que termina con la ejecución del malware

Comunicación con C2

En ambos casos, lo primero que hace RedLine después de ser desempaquetado y lanzado es intentar comunicarse con el servidor de comando y control. Sin embargo, justo antes de eso, también realiza una comprobación de región. Si la dirección IP detectada del dispositivo infectado pertenece a un país ex-URSS, el malware cancela la ejecución. Este es un comportamiento bastante típico para el malware cuyos desarrolladores viven en estos países. Se ha registrado el mismo comportamiento en el malware SmokeLoader, que detiene la ejecución si se detecta una región prohibida. La lista de regiones está codificada en el software, por lo que no es posible cambiar las preferencias sin tener acceso al código fuente.

Bloqueo de región de RedLine Stealer
Lista de países donde RedLine se niega a ejecutarse

El paquete de datos que se encarga de comunicarse con el servidor de comando está codificado en el malware y usa el mismo cifrado RC4 y codificación Base64 que el resto de la muestra. Contiene información de la dirección IP y el ID del bot. Una muestra puede llevar numerosas direcciones IP y puertos de servidores de comando, pero la mayoría de las veces solo se presenta una dirección.

El mensaje inicial solo es necesario para notificar al C2 acerca de un nuevo ordenador infectado, por lo que contiene solo un ID del bot y un mensaje de texto corto. Este √ļltimo suele estar en blanco, pero puede contener algo distintivo para agrupar los bots u otras funciones. Despu√©s del mensaje inicial, se presenta una solicitud HTTP GET que solicita la informaci√≥n de configuraci√≥n. Esta define qu√© funciones utilizar√° el malware en el sistema infectado.

Configuración de C2
Archivo de configuración recibido desde el servidor de comando

Para escanear los directorios, el malware recibe archivos de configuraci√≥n adicionales que contienen informaci√≥n sobre las rutas y los tipos/nombres de archivo para buscar. Para enviar los datos de vuelta al servidor, el malware utiliza solicitudes HTTP POST con un marcador de ID espec√≠fico en el encabezado del mensaje. Este n√ļmero puede variar de 1 a 24; cada uno de ellos corresponde a un tipo de datos espec√≠fico. El malware forma y env√≠a autom√°ticamente la solicitud POST despu√©s de extraer el tipo de datos espec√≠fico.

Registros extraídos
Parte de la información extraída por RedLine Stealer

Robo de datos de RedLine

La primera y más importante capacidad del RedLine Stealer es la exploración del entorno en el que se está ejecutando. No se trata de trucos de anti-detección y anti-análisis, sino de tener una huella completa de un sistema. El malware es capaz de realizar esta acción incluso cuando recibe una configuración en blanco del C2, es decir, es su funcionalidad básica.

  • Zona horaria
  • Idiomas
  • Informaci√≥n de hardware
  • Nombre de usuario
  • Versi√≥n y compilaci√≥n de Windows
  • Captura de pantalla
  • Navegadores instalados
  • Software antivirus instalado
  • Procesos actualmente en ejecuci√≥n

Sin embargo, utilizando configuraciones, RedLine Stealer puede obtener una gama mucho m√°s amplia de datos, incluidas contrase√Īas de diferentes categor√≠as, n√ļmeros de tarjetas bancarias y billeteras de criptomonedas, y tambi√©n datos de navegadores web y varias aplicaciones de escritorio espec√≠ficas. Echemos un vistazo a cada fuente de datos.

Navegadores web

RedLine puede entrar en numerosos navegadores web, desde los m√°s populares, como Chrome, Opera y Firefox, hasta alternativas basadas en Chromium y Quantum. Los puntos clave de inter√©s se dividen en datos dentro del navegador y datos de complementos relacionados con billeteras de criptomonedas. El stealer puede tomar contrase√Īas guardadas y datos de tarjetas de cr√©dito de formularios de autocompletar. De hecho, puede obtener lo que encuentre en autocompletar, ya que esta es su principal forma de robar datos de navegadores. Otra cosa que busca RedLine Stealer en los navegadores web son las cookies. Dependiendo de la forma en que el navegador almacena las cookies (es decir, como un archivo cifrado o dentro de una base de datos SQL), el malware tambi√©n puede extraerlas.

Las extensiones del navegador son un poco diferentes. El malware trae una lista extensa de extensiones que se utilizan para administrar billeteras de criptomonedas importantes. El malware escanea los archivos del navegador web para localizar algunas de ellas. Luego, extrae los datos relacionados con todas las coincidencias (o los omite si no se encuentra ninguna). Espec√≠ficamente apunta a las contrase√Īas y cookies relacionadas con estas extensiones, copiando todo lo que encuentra en su carpeta de archivos. La lista de billeteras a las que apunta es la siguiente:

MetamaskEqualWalletMathWallet
CoinbaseBinanceChainBraveWallet
GuardaWalletYoroiWalletTronlink
NiftyWalletJaxxxLibertyPhantom
OxygenMewCxGuildWallet
SaturnWalletRoninWalletTerraStation
HarmonyWalletCoin98WalletPaliWallet
BoltXBitAppWalletNamiWallet
MaiarDeFiWalletAuthenticatoriWallet
WombatAtomicWalletTonCrystal
KardiaChainLiqualityWalletXdefiWallet

Aplicaciones de escritorio

Hay 3 programas de escritorio a los que RedLine Stealer presta atención específica. Estos son Discord, Steam y Telegram Messenger. El objetivo principal es el secuestro de sesiones y el robo de archivos relacionados con las sesiones (en Telegram). Los dos primeros tienen una forma similar de gestión de sesiones, basada en tokens. Al atacarlos, el malware va a sus directorios en AppData\Roaming y busca a través de sus archivos en busca de tokens de sesión. El malware conoce el patrón de nomenclatura utilizado tanto por Steam como por Discord, y busca específicamente los archivos que encajan con esta convención de nombres.

Telegram tiene un mecanismo de gestión de sesiones diferente, que no permite el mismo truco. Por esa razón, RedLine Stealer solo captura todos los archivos posibles relacionados con la sesión del usuario, almacenados en la carpeta AppData\Telegram Desktop\tdata.

Aplicaciones VPN y FTP

RedLine es capaz de robar credenciales de inicio de sesión de varios servicios de VPN y aplicaciones FTP. Estos son OpenVPN, NordVPN, ProtonVPN y FileZilla. Para las VPN, simplemente busca archivos de configuración en los directorios de usuario. Por ejemplo, para obtener los datos de los usuarios en NordVPN, busca en su directorio - AppData\Local\NordVPN - y busca archivos .config. En estos archivos, busca nodos "//setting / value".

OpenVPN y ProtonVPN difieren solo en sus rutas de directorio y extensiones de archivos de configuración (.ovpn para OpenVPN). Los datos de inicio de sesión de FTP se roban a través del análisis de los archivos de configuración correspondientes en el directorio raíz. Para FileZilla son recentservers.xml y sitemanager.xml.

Archivos y carpetas específicos

Adem√°s de las categor√≠as de datos predefinidas, RedLine Stealer es capaz de obtener cualquier archivo si su maestro lo ordena. Acepta la b√ļsqueda de archivos de formatos y nombres espec√≠ficos; el maestro tambi√©n puede pedirle al malware que obtenga todo el contenido de un directorio con un nombre espec√≠fico. Esta funci√≥n puede ser √ļtil durante ataques dirigidos, cuando el actor amenaza sabe que podr√≠a haber archivos valiosos (planos, informes, etc.), pero van m√°s all√° de las capacidades de los m√≥dulos que apuntan a datos de cuentas de usuario.

Configuraci√≥n de b√ļsqueda de archivos de Redline Stealer
Configuraciones para la b√ļsqueda de archivos

Protección contra RedLine

Como cualquier otro malware avanzado, es mejor evitar que aparezca RedLine en absoluto, en lugar de prepararse para reparar el sistema después del ataque. Estos métodos proactivos se basan en la forma en que el malware se propaga a su sistema.

Tenga cuidado con los mensajes en las redes sociales y el correo electrónico. Claro, generalmente no representan ninguna amenaza, pero los hackers esperan que piense exactamente eso. Las técnicas de suplantación que son bastante comunes para los operadores de RedLine Stealer les permiten parecer naturales, especialmente considerando que generalmente difunden mensajes que se ajustan a su disfraz. Por esa razón, debe verificar cada "oferta generosa" dos veces, por ejemplo, en su sitio web oficial. Si no hay información correspondiente ni anuncio de ninguna promoción o asociación, manténgase alejado de cualquiera de esas cosas.

Est√© atento a los anuncios en los que hace clic. La publicidad maliciosa puede llevarlo a una amplia gama de problemas diferentes, desde programas no deseados hasta adware. Pero RedLine se aprovecha de los anuncios de Google, que se consideran seguros y libres de estas cosas. Por lo tanto, llevan incluso m√°s peligros - y las estad√≠sticas horribles de la √ļltima campa√Īa relacionada con anuncios maliciosos en los resultados de b√ļsqueda de Google confirman esta tesis. Afortunadamente, las URL de las p√°ginas que promueven estos anuncios son bastante f√°ciles de distinguir de las originales. Otro consejo es evitar cualquier anuncio en los resultados de b√ļsqueda y desplazarse hacia abajo hasta las p√°ginas reales, para que haga clic solo en lo genuino.

Use soluciones de seguridad avanzadas. Esto es tanto una medida proactiva como reactiva, ya que ayudará a eliminar amenazas sofisticadas como malware dropper y evitar cualquier otro intento. Para la seguridad corporativa, cosas como el sistema de detección y respuesta extendido (XDR), SIEM, firewalls y UBA son esenciales - y el primero es lo que crea la columna vertebral de todo el sistema de ciberseguridad. Pero incluso para usuarios individuales, tener un programa confiable que encuentre y derrote cualquier amenaza es una buena decisión.

Indicadores de Compromiso (IoC) de RedLine Stealer

Hashes

SHA256: 2b173e6cde1985b8f98e19458e587a0bb2cb4d3ca2f43fbe90317148733c8c19
SHA256: 33a58fe28fd4991d416ec5c71ed1a3902fa1b3670f0c21913e8067b117a13d40
SHA256: 6b1a6e9d2fd406bd64d19f83d5d2da53daf81cb77deafd44093e328632c812e6
SHA256: 9b83295232742e7441e112964f0cc24b825f5c7367589781ce3cacf8516c47e5
SHA256: b386457fb2917a1e71aa8f8e24ce577984a2679d518cf0c098d6175f6410b569
SHA256: 87789525666ff30d7866ebd346e712e5cb17a029e892036d2798c29568e44ce2
SHA256: b3a7841c382f8037f81b90744e527677bf00e9d1e535e54c720bf9c201046285
SHA256: f9be3f2ebd3654b7ecc41d482840872e1daaede423dff221f925acc4c72a6ce3
SHA256: 4dbf6414e86f128d65b575fe220d5346a258c2b9c188c886a93bb9293291fceb
SHA256: b23551685f437c0209057195a157c249b4f5489b5237c15a8c641190eedd0ada
SHA256: 3dbb485f94bffbb6e070780451ccda0c651520b651ae9f2f763a8ff9fa70060e
SHA256: b41e1a0228c495766f452ae25f5cf0ec032f4e5440b02beafc75af05b80a01b5
SHA256: 1e82ed7a9d804175a7b412ac27314dbdf2e2c3453aca9954a12a30a521f47a8d
SHA256: 6c1b0a6370877b232e230baa8703139865662584854a4f8306c387baa1185b50
SHA256: 05321f9484b678c42a2e08e86f0674093eeb69b9a2c47608439946601cf098c1
SHA256: 2a2a05359afeb631127ebbb8d2d2f2c4c4e3f613a9e1e0fd3287e14577c2578f
MD5: c26fb943ff2fe11908905fc573975970
MD5: 76cb8ef17282d3e07be6f4c7ea3a4075
MD5: 651acd24fd7ca46d6c41676e58f655c7
MD5: eacee8508d4a8f42ab3d77d308260460
MD5: 280b496b1556d2beea8f7b9b7958d7cd
MD5: 37e07863b33d8c7a3355a3c0e1668520
MD5: 1716bf4f93fc704a463c6517ec22fed5
MD5: b7649de5628e2c6b2be40b6d2fe115c5
MD5: abce7bb76cd0b298f352761c961c8727
MD5: 9b25deede4511de18e00c1214ba32532
MD5: 918fee161ff85beba22b171f1e401cce
MD5: 85a7d125f19102f0e504443c721a850c
MD5: 79f29087b398759dea999db7057989c4
MD5: 657e36feb61d77e8d2d9da0833c9b8e8
MD5: 374c04c530c8e3a4f82535e0be2c748c
MD5: 7fc7660c4586ac5b6cf63d2bfa616867
 

IP addresses

95.217.146.176:4287 162.55.188.117:48958 8.9.31.171:21237
77.91.78.218:47779 88.198.124.103:40309 20.100.204.23:41570
193.233.20.13:4136 103.169.34.87:27368 207.246.70.132:23
95.216.27.23:42121 89.23.96.224:39812 88.218.171.68:20005
192.227.144.59:12210 193.57.138.163:28786 79.137.192.41:40084
77.73.131.143:3320 185.106.93.132:800 77.73.134.78:38667
70.36.106.161:10456 142.132.186.212:8901 138.128.243.83:30774
45.95.67.36:36262 213.166.71.44:10042 137.74.157.83:36657
51.161.104.92:47909 193.233.20.12:4132 147.135.165.21:36456
82.115.223.77:38358 135.181.204.51:20347 103.73.219.222:26409
45.15.157.156:10562 185.11.61.125:22344 116.203.231.217:39810
178.20.45.6:19170 45.83.178.135:1000 142.132.210.105:29254
95.217.14.200:34072 45.15.156.205:12553 176.113.115.17:4132
185.106.93.207:35946 193.233.20.11:4131 157.90.117.250:45269
190.2.145.79:80 185.94.166.20:80 95.217.146.176:4286

Note: large and long-term C2s i.e. ones that have numerous connections, are marked in bold.

MITRE ATT&CK

Technique ID Name Technique ID Name
T1566 Phishing T1539 Steal Web Session Cookie
T1552 Unsecured Credentials T1204 User Execution
T1555 Credentials from Password Stores T1113 Screen Capture
T1614 System Location Discovery T1124 System Time Discovery
T1007 System Service Discovery T1087 Account Discovery
T1518 Software Discovery T1057 Process Discovery
T1120 Peripheral Device Discovery T1571 Non-Standard Port
T1095 Non-Application Layer Protocol T1041 Exfiltration Over C2 Channel