Dancho Danchev's Blog - Mind Streams of Information Security Knowledge: Exposing TrickBot's Bitzlato Cryptocurrency Exchange

Thursday, February 09, 2023

Exposing TrickBot's Bitzlato Cryptocurrency Exchange - An OSINT Analysis

Just came across this and I've decided to elaborate and offer actionable intelligence on the whereabouts of TrickBot's Bitzlato cryptocurrency exchange.

Company name: Bitzlato Limited

Company owner: Anatoly Legkodymov

Company URLs: hxxp://bitzlato.com - 103.41.71.252; hxxp://bitzlato.net - 103.41.71.252; 104.21.64.203; 104.24.117.5; 172.67.136.54; 104.24.116.5; 154.92.19.56; 107.161.23.204; 192.161.187.200; 209.141.38.71 - hxxp://bitzla.to - hxxp://bitzlato.bz - hxxp://bitzlato.bz - hxxp://changebot.info

Sample company social media account presence: hxxp://t.me/bitzlato; hxxp://www.reddit.com/r/Bitzlato/; hxxp://facebook.com/bitzlato; hxxp://instagram.com/bitzlato; hxxp://t.me/s/bitzlato_ru

Sample personally identifiable email address accounts known to have been involved in the campaign include:

legkodymov.lev@gmail.com

globus290382@yandex.ru

valentinka.ne@mail.ru

valentin.karyagin@gmail.com

v.karyagin@neovox.ru

support@ideascup.me

pleshevskie@gmail.com

dmitriy@ideascup.me

pleshevskiy@gmail.com

ivanalert@mail.ru

Related domains known to have been registered by the same individuals:

hxxp://fineeps.com

hxxp://btcbanker.info - legkodymov.lev@gmail.com

hxxp://btcbanker.org - robert@worldtradedaily.com; telegrambanker@gmail.com

hxxp://changebot.org

hxxp://changebot.info

hxxp://maccounter.com

Sample Maltego graphs related to the company:

Sample responding IPs known to have been involved in the campaign:

172[.]67[.]70[.]135

184[.]168[.]221[.]88

50[.]63[.]202[.]65

184[.]168[.]221[.]90

50[.]63[.]202[.]53

50[.]63[.]202[.]93

160[.]153[.]128[.]46

31[.]31[.]204[.]59

188[.]114[.]97[.]7

50[.]63[.]202[.]69

188[.]114[.]97[.]15

184[.]168[.]221[.]87

188[.]114[.]96[.]0

50[.]63[.]202[.]64

172[.]64[.]167[.]33

188[.]114[.]96[.]7

23[.]217[.]138[.]108

23[.]202[.]231[.]167

104[.]26[.]3[.]83

184[.]168[.]221[.]69

109[.]201[.]135[.]45

78[.]41[.]204[.]37

95[.]183[.]53[.]20

188[.]114[.]97[.]6

192[.]161[.]187[.]200

188[.]114[.]96[.]22

70[.]39[.]125[.]243

31[.]31[.]204[.]61

103[.]41[.]71[.]252

194[.]58[.]56[.]34

194[.]58[.]56[.]32

54[.]161[.]222[.]85

52[.]73[.]179[.]54

194[.]58[.]56[.]35

184[.]168[.]221[.]83

194[.]58[.]56[.]40

3[.]131[.]233[.]90

3[.]130[.]204[.]160

95[.]211[.]75[.]26

109[.]201[.]133[.]71

172[.]67[.]131[.]163

104[.]21[.]4[.]41

172[.]67[.]131[.]156

104[.]21[.]4[.]35

104[.]18[.]62[.]120

104[.]21[.]29[.]112

172[.]67[.]196[.]179

104[.]18[.]63[.]120

104[.]21[.]44[.]68

104[.]31[.]88[.]147

104[.]31[.]89[.]147

172[.]67[.]148[.]132

172[.]67[.]148[.]198

104[.]28[.]14[.]149

104[.]28[.]15[.]149

104[.]31[.]81[.]102

104[.]21[.]91[.]117

172[.]67[.]217[.]133

172[.]64[.]110[.]10

172[.]64[.]111[.]10

172[.]67[.]215[.]55

104[.]21[.]37[.]237

104[.]21[.]30[.]162

172[.]67[.]173[.]59

104[.]21[.]75[.]73

172[.]67[.]216[.]154

172[.]64[.]172[.]31

172[.]64[.]173[.]31

104[.]21[.]62[.]13

172[.]67[.]217[.]172

172[.]67[.]222[.]49

104[.]21[.]54[.]10

104[.]27[.]155[.]104

172[.]64[.]167[.]33

172[.]67[.]200[.]115

104[.]27[.]154[.]104

104[.]18[.]44[.]206

104[.]18[.]45[.]206

172[.]67[.]170[.]204

172[.]64[.]197[.]5

172[.]64[.]196[.]5

172[.]64[.]136[.]22

104[.]27[.]186[.]70

104[.]27[.]187[.]70

172[.]67[.]208[.]166

104[.]24[.]119[.]52

172[.]67[.]211[.]216

104[.]24[.]118[.]52

172[.]67[.]200[.]216

104[.]31[.]80[.]102

104[.]31[.]79[.]154

104[.]31[.]78[.]154

172[.]67[.]186[.]246

104[.]24[.]103[.]249

172[.]67[.]158[.]208

104[.]24[.]102[.]249

172[.]67[.]198[.]173

104[.]24[.]115[.]112

172[.]64[.]108[.]20

172[.]64[.]109[.]20

104[.]24[.]108[.]69

104[.]24[.]109[.]69

172[.]67[.]208[.]8

172[.]64[.]166[.]33

172[.]67[.]156[.]70

104[.]27[.]148[.]220

104[.]27[.]149[.]220

172[.]67[.]167[.]141

172[.]64[.]130[.]14

172[.]64[.]131[.]14

172[.]64[.]202[.]5

172[.]64[.]203[.]5

104[.]18[.]49[.]28

172[.]67[.]138[.]76

172[.]64[.]104[.]4

172[.]64[.]105[.]4

104[.]31[.]66[.]244

172[.]64[.]164[.]20

172[.]64[.]165[.]20

104[.]31[.]67[.]244

172[.]67[.]208[.]152

104[.]27[.]130[.]71

104[.]27[.]131[.]71

104[.]28[.]30[.]58

104[.]28[.]31[.]58

104[.]28[.]24[.]57

104[.]28[.]25[.]57

172[.]67[.]131[.]147

104[.]27[.]156[.]242

104[.]27[.]157[.]242

172[.]67[.]155[.]254

104[.]27[.]144[.]175

172[.]67[.]150[.]9

104[.]27[.]145[.]175

104[.]28[.]20[.]243

104[.]28[.]21[.]243

172[.]67[.]159[.]181

104[.]27[.]128[.]230

172[.]67[.]164[.]23

104[.]27[.]129[.]230

18[.]215[.]128[.]143

192[.]157[.]56[.]141

192[.]157[.]56[.]140

185[.]107[.]56[.]55

185[.]107[.]56[.]193

192[.]157[.]56[.]142

185[.]107[.]56[.]194

185[.]107[.]56[.]195

185[.]107[.]56[.]192

192[.]157[.]56[.]139

109[.]201[.]135[.]39

207[.]244[.]67[.]138

37[.]48[.]65[.]150

207[.]244[.]67[.]139

5[.]79[.]68[.]109

37[.]48[.]65[.]149

172[.]67[.]167[.]170

104[.]21[.]42[.]229

18[.]213[.]250[.]117

52[.]4[.]209[.]250

162[.]210[.]195[.]111

96[.]47[.]230[.]68

109[.]201[.]135[.]45

162[.]210[.]195[.]122

199[.]115[.]115[.]118

96[.]47[.]230[.]70

81[.]171[.]22[.]4

207[.]244[.]67[.]174

109[.]201[.]133[.]69

81[.]171[.]22[.]6

96[.]47[.]230[.]69

109[.]201[.]135[.]46

109[.]201[.]135[.]43

109[.]201[.]135[.]65

162[.]210[.]195[.]123

109[.]201[.]133[.]39

109[.]201[.]135[.]44

109[.]201[.]135[.]35

37[.]48[.]65[.]151

207[.]244[.]67[.]218

199[.]115[.]115[.]116

109[.]201[.]135[.]71

207[.]244[.]67[.]216

199[.]115[.]115[.]102

37[.]48[.]65[.]148

199[.]115[.]115[.]119

207[.]244[.]67[.]214

81[.]171[.]22[.]5

5[.]79[.]68[.]110

207[.]244[.]67[.]215

96[.]47[.]230[.]67

95[.]211[.]75[.]25

108[.]61[.]19[.]12

172[.]93[.]194[.]60

108[.]61[.]19[.]11

85[.]159[.]233[.]44

78[.]41[.]204[.]28

162[.]210[.]196[.]167

162[.]222[.]213[.]196

78[.]41[.]204[.]34

78[.]41[.]204[.]39

162[.]222[.]213[.]199

109[.]201[.]133[.]56

162[.]210[.]199[.]65

209[.]126[.]123[.]11

109[.]201[.]133[.]23

209[.]126[.]123[.]13

37[.]48[.]65[.]155

109[.]201[.]133[.]68

95[.]211[.]75[.]10

95[.]211[.]75[.]26

95[.]211[.]75[.]16

207[.]244[.]67[.]172

207[.]244[.]67[.]173

108[.]61[.]19[.]13

46[.]166[.]182[.]54

108[.]61[.]19[.]14

162[.]222[.]213[.]197

5[.]79[.]68[.]107

104[.]237[.]196[.]115

81[.]171[.]22[.]7

172[.]93[.]194[.]62

5[.]79[.]68[.]108

46[.]166[.]182[.]62

184[.]168[.]221[.]79

104[.]27[.]176[.]87

104[.]27[.]177[.]87

109[.]201[.]133[.]54

162[.]210[.]196[.]166

162[.]210[.]199[.]87

37[.]48[.]65[.]152

199[.]115[.]116[.]216

209[.]126[.]123[.]12

207[.]244[.]65[.]58

37[.]48[.]65[.]143

37[.]48[.]65[.]136

162[.]210[.]199[.]85

37[.]48[.]65[.]154

109[.]201[.]133[.]73

37[.]48[.]65[.]153

37[.]48[.]65[.]145

162[.]210[.]196[.]168

52[.]0[.]217[.]44

23[.]20[.]239[.]12

52[.]54[.]24[.]134

52[.]6[.]128[.]155

91[.]195[.]240[.]13

74[.]208[.]236[.]102

31[.]220[.]16[.]53

31[.]31[.]204[.]59

103[.]41[.]71[.]252

104[.]21[.]64[.]203

104[.]24[.]117[.]5

172[.]67[.]136[.]54

104[.]24[.]116[.]5

154[.]92[.]19[.]56

107[.]161[.]23[.]204

192[.]161[.]187[.]200

209[.]141[.]38[.]71

50[.]63[.]202[.]53

104[.]21[.]61[.]156

172[.]67[.]211[.]138

160[.]153[.]128[.]46

172[.]67[.]70[.]135

104[.]26[.]3[.]83

104[.]26[.]2[.]83

162[.]159[.]138[.]85

162[.]159[.]137[.]85

172[.]67[.]74[.]48

104[.]26[.]10[.]44

104[.]26[.]11[.]44

172[.]67[.]186[.]213

104[.]21[.]60[.]9

104[.]21[.]51[.]145

172[.]67[.]181[.]106

104[.]21[.]69[.]194

104[.]24[.]124[.]54

104[.]24[.]125[.]54

172[.]67[.]212[.]102

172[.]64[.]166[.]18

172[.]64[.]167[.]18

172[.]64[.]194[.]2

172[.]64[.]195[.]2

104[.]18[.]42[.]185

172[.]67[.]176[.]254

104[.]18[.]43[.]185

172[.]64[.]132[.]21

172[.]64[.]133[.]21

104[.]18[.]45[.]185

172[.]67[.]176[.]253

104[.]18[.]44[.]185

172[.]67[.]187[.]191

104[.]21[.]68[.]57

104[.]21[.]43[.]43

172[.]67[.]219[.]48

172[.]67[.]215[.]32

104[.]21[.]59[.]56

172[.]67[.]190[.]82

104[.]21[.]76[.]60

172[.]67[.]159[.]196

104[.]21[.]9[.]111

104[.]21[.]9[.]110

172[.]67[.]159[.]195

104[.]21[.]9[.]109

172[.]67[.]159[.]194

104[.]21[.]83[.]91

172[.]67[.]220[.]239

172[.]67[.]165[.]64

104[.]27[.]145[.]226

172[.]67[.]207[.]132

104[.]18[.]40[.]76

104[.]18[.]41[.]76

104[.]31[.]83[.]75

104[.]31[.]82[.]75

104[.]24[.]124[.]157

104[.]24[.]125[.]157

104[.]27[.]151[.]157

104[.]27[.]150[.]157

172[.]64[.]99[.]15

172[.]64[.]98[.]15

172[.]64[.]173[.]16

172[.]64[.]203[.]29

172[.]64[.]202[.]29

172[.]64[.]96[.]28

172[.]64[.]97[.]28

104[.]31[.]68[.]221

172[.]67[.]166[.]166

104[.]31[.]69[.]221

172[.]67[.]146[.]41

104[.]18[.]53[.]227

104[.]18[.]52[.]227

172[.]67[.]165[.]4

172[.]64[.]111[.]14

172[.]64[.]110[.]14

172[.]64[.]170[.]34

172[.]64[.]171[.]34

172[.]64[.]207[.]12

172[.]64[.]206[.]12

104[.]27[.]144[.]226

104[.]21[.]79[.]147

104[.]21[.]55[.]52

172[.]67[.]144[.]212

172[.]64[.]137[.]22

172[.]67[.]184[.]144

104[.]21[.]76[.]2

172[.]67[.]168[.]239

104[.]21[.]79[.]32

172[.]64[.]202[.]7

172[.]64[.]203[.]7

172[.]67[.]222[.]59

104[.]21[.]46[.]11

104[.]21[.]49[.]148

172[.]67[.]163[.]242

172[.]67[.]220[.]103

104[.]21[.]62[.]52

172[.]64[.]169[.]16

172[.]64[.]168[.]16

172[.]64[.]105[.]13

104[.]21[.]40[.]11

172[.]64[.]167[.]16

172[.]67[.]173[.]216

172[.]64[.]166[.]16

188[.]114[.]96[.]2

172[.]64[.]137[.]31

188[.]114[.]97[.]2

172[.]64[.]136[.]31

188[.]114[.]96[.]3

104[.]18[.]40[.]160

104[.]21[.]76[.]225

104[.]18[.]41[.]160

172[.]67[.]201[.]234

172[.]64[.]172[.]16

104[.]21[.]70[.]92

104[.]24[.]113[.]28

172[.]67[.]222[.]47

104[.]24[.]112[.]28

104[.]21[.]86[.]68

178[.]128[.]139[.]249

172[.]67[.]216[.]91

167[.]99[.]215[.]175

104[.]21[.]39[.]132

185[.]165[.]123[.]206

172[.]67[.]145[.]207

45[.]77[.]55[.]61

172[.]67[.]146[.]78

Sample photos of the individuals behind the campaign:

Sample related MD5s known to have phoned back to these domains:

7a6f2d84c3eb8db4d91ce07ea3ac9772bd5fea06fe2c762f0077cba876ed4b13

994ecf65c45d64965191445dcd5408eab1cd5b8a99a7073968da5cd14036ea4b

7c074a18640479cc1073f56dedd3b7794ffd7d3c1605f3660cd2d5c480b55dcc

d14461d2642994a3ef194c6f1c4d542d48bc8d6ccbf16f18a3e4ef0d61739ca5

fd5541baaabab71fa71762c8490205dbc16af038a5243923593845f922b501ee

411cfd693f38f0b39d5689e48b5b7ec4d660ba95a1ec6d842d8fcc1b116994a7

2e12c3bf63facebb6e4fac6e2b0ee715de2127d4ace510b1a188158d3588fabc

d29544e4e66e74468d38f667603a55da657cd10b5ec999e615b9a7b920f32441

3305706d89aa2ef1e0a03f381f94c78c00b11b2bd5b400d73ee010c876bd77cc

68130f4b25cfa991c20f73b508a795a7a81b54d04fb7b39d3fb663aae43dee4a

c64edf4e3c7fa154fe85eb3dd69e99a561dcfae16e24a4f5360527b2137f8925

75a2a61d9822fcf3b41b43a2a9b2bfa2bc7b723aa57180b404e6bc9b36d18337

2164f91e3aad0cc69015d0ba9e33d6cdcf7595c48161c2858566e64008ef9ae9

a9c93131325212be8fc88c6b8cb9b83a32c7c39875b2861d79fec1851a067f6a

78e72c1ca6d4c2c0e4bb9be957d6a8302ddd0c24d3c51f28482c5211f9c90074

ad01f17ebf40b4d66598fb30be1a84a5f3fdda301b8bed285b6b2c966d68c463

The domains are currently seized and sinkholed by the ShadowServer Foundation.

Stay tuned!

Dancho Danchev

Independent Security Consultancy, Threat Intelligence Analysis (OSINT/Cyber Counter Intelligence) and Competitive Intelligence research on demand. Insightful, unbiased, and client-tailored assessments, neatly communicated in the form of interactive reports - because anticipating the emerging threatscape is what shapes the big picture at the end of the day. Approach me at dancho.danchev@hush.com

Dancho Danchev's Blog - Mind Streams of Information Security Knowledge

Thursday, February 09, 2023

Exposing TrickBot's Bitzlato Cryptocurrency Exchange - An OSINT Analysis

No comments:

Post a Comment