Exposing TrickBot's Bitzlato Cryptocurrency Exchange - An OSINT Analysis

0
February 09, 2023

Just came across this and I've decided to elaborate and offer actionable intelligence on the whereabouts of TrickBot's Bitzlato cryptocurrency exchange.

Company name: Bitzlato Limited
Company owner: Anatoly Legkodymov
Company URLs: hxxp://bitzlato.com - 103.41.71.252; hxxp://bitzlato.net - 103.41.71.252; 104.21.64.203; 104.24.117.5; 172.67.136.54; 104.24.116.5; 154.92.19.56; 107.161.23.204; 192.161.187.200; 209.141.38.71 - hxxp://bitzla.to - hxxp://bitzlato.bz - hxxp://bitzlato.bz - hxxp://changebot.info
Sample company social media account presence: hxxp://t.me/bitzlato; hxxp://www.reddit.com/r/Bitzlato/; hxxp://facebook.com/bitzlato; hxxp://instagram.com/bitzlato; hxxp://t.me/s/bitzlato_ru

Sample personally identifiable email address accounts known to have been involved in the campaign include:
legkodymov.lev@gmail.com
globus290382@yandex.ru
valentinka.ne@mail.ru
valentin.karyagin@gmail.com
v.karyagin@neovox.ru
support@ideascup.me
pleshevskie@gmail.com
dmitriy@ideascup.me
pleshevskiy@gmail.com
ivanalert@mail.ru


Related domains known to have been registered by the same individuals:
hxxp://fineeps.com
hxxp://btcbanker.info - legkodymov.lev@gmail.com
hxxp://btcbanker.org - robert@worldtradedaily.com; telegrambanker@gmail.com
hxxp://changebot.org
hxxp://changebot.info
hxxp://maccounter.com

Sample Maltego graphs related to the company:





Sample responding IPs known to have been involved in the campaign:
172[.]67[.]70[.]135
184[.]168[.]221[.]88
50[.]63[.]202[.]65
184[.]168[.]221[.]90
50[.]63[.]202[.]53
50[.]63[.]202[.]93
160[.]153[.]128[.]46
31[.]31[.]204[.]59
188[.]114[.]97[.]7
50[.]63[.]202[.]69
188[.]114[.]97[.]15
184[.]168[.]221[.]87
188[.]114[.]96[.]0
50[.]63[.]202[.]64
172[.]64[.]167[.]33
188[.]114[.]96[.]7
23[.]217[.]138[.]108
23[.]202[.]231[.]167
104[.]26[.]3[.]83
184[.]168[.]221[.]69
109[.]201[.]135[.]45
78[.]41[.]204[.]37
95[.]183[.]53[.]20
188[.]114[.]97[.]6
192[.]161[.]187[.]200
188[.]114[.]96[.]22
70[.]39[.]125[.]243
31[.]31[.]204[.]61
103[.]41[.]71[.]252
194[.]58[.]56[.]34
194[.]58[.]56[.]32
54[.]161[.]222[.]85
52[.]73[.]179[.]54
194[.]58[.]56[.]35
184[.]168[.]221[.]83
194[.]58[.]56[.]40
3[.]131[.]233[.]90
3[.]130[.]204[.]160
95[.]211[.]75[.]26
109[.]201[.]133[.]71
172[.]67[.]131[.]163
104[.]21[.]4[.]41
172[.]67[.]131[.]156
104[.]21[.]4[.]35
104[.]18[.]62[.]120
104[.]21[.]29[.]112
172[.]67[.]196[.]179
104[.]18[.]63[.]120
104[.]21[.]44[.]68
104[.]31[.]88[.]147
104[.]31[.]89[.]147
172[.]67[.]148[.]132
172[.]67[.]148[.]198
104[.]28[.]14[.]149
104[.]28[.]15[.]149
104[.]31[.]81[.]102
104[.]21[.]91[.]117
172[.]67[.]217[.]133
172[.]64[.]110[.]10
172[.]64[.]111[.]10
172[.]67[.]215[.]55
104[.]21[.]37[.]237
104[.]21[.]30[.]162
172[.]67[.]173[.]59
104[.]21[.]75[.]73
172[.]67[.]216[.]154
172[.]64[.]172[.]31
172[.]64[.]173[.]31
104[.]21[.]62[.]13
172[.]67[.]217[.]172
172[.]67[.]222[.]49
104[.]21[.]54[.]10
104[.]27[.]155[.]104
172[.]64[.]167[.]33
172[.]67[.]200[.]115
104[.]27[.]154[.]104
104[.]18[.]44[.]206
104[.]18[.]45[.]206
172[.]67[.]170[.]204
172[.]64[.]197[.]5
172[.]64[.]196[.]5
172[.]64[.]136[.]22
104[.]27[.]186[.]70
104[.]27[.]187[.]70
172[.]67[.]208[.]166
104[.]24[.]119[.]52
172[.]67[.]211[.]216
104[.]24[.]118[.]52
172[.]67[.]200[.]216
104[.]31[.]80[.]102
104[.]31[.]79[.]154
104[.]31[.]78[.]154
172[.]67[.]186[.]246
104[.]24[.]103[.]249
172[.]67[.]158[.]208
104[.]24[.]102[.]249
172[.]67[.]198[.]173
104[.]24[.]115[.]112
172[.]64[.]108[.]20
172[.]64[.]109[.]20
104[.]24[.]108[.]69
104[.]24[.]109[.]69
172[.]67[.]208[.]8
172[.]64[.]166[.]33
172[.]67[.]156[.]70
104[.]27[.]148[.]220
104[.]27[.]149[.]220
172[.]67[.]167[.]141
172[.]64[.]130[.]14
172[.]64[.]131[.]14
172[.]64[.]202[.]5
172[.]64[.]203[.]5
104[.]18[.]49[.]28
172[.]67[.]138[.]76
172[.]64[.]104[.]4
172[.]64[.]105[.]4
104[.]31[.]66[.]244
172[.]64[.]164[.]20
172[.]64[.]165[.]20
104[.]31[.]67[.]244
172[.]67[.]208[.]152
104[.]27[.]130[.]71
104[.]27[.]131[.]71
104[.]28[.]30[.]58
104[.]28[.]31[.]58
104[.]28[.]24[.]57
104[.]28[.]25[.]57
172[.]67[.]131[.]147
104[.]27[.]156[.]242
104[.]27[.]157[.]242
172[.]67[.]155[.]254
104[.]27[.]144[.]175
172[.]67[.]150[.]9
104[.]27[.]145[.]175
104[.]28[.]20[.]243
104[.]28[.]21[.]243
172[.]67[.]159[.]181
104[.]27[.]128[.]230
172[.]67[.]164[.]23
104[.]27[.]129[.]230
18[.]215[.]128[.]143
192[.]157[.]56[.]141
192[.]157[.]56[.]140
185[.]107[.]56[.]55
185[.]107[.]56[.]193
192[.]157[.]56[.]142
185[.]107[.]56[.]194
185[.]107[.]56[.]195
185[.]107[.]56[.]192
192[.]157[.]56[.]139
109[.]201[.]135[.]39
207[.]244[.]67[.]138
37[.]48[.]65[.]150
207[.]244[.]67[.]139
5[.]79[.]68[.]109
37[.]48[.]65[.]149
172[.]67[.]167[.]170
104[.]21[.]42[.]229
18[.]213[.]250[.]117
52[.]4[.]209[.]250
162[.]210[.]195[.]111
96[.]47[.]230[.]68
109[.]201[.]135[.]45
162[.]210[.]195[.]122
199[.]115[.]115[.]118
96[.]47[.]230[.]70
81[.]171[.]22[.]4
207[.]244[.]67[.]174
109[.]201[.]133[.]69
81[.]171[.]22[.]6
96[.]47[.]230[.]69
109[.]201[.]135[.]46
109[.]201[.]135[.]43
109[.]201[.]135[.]65
162[.]210[.]195[.]123
109[.]201[.]133[.]39
109[.]201[.]135[.]44
109[.]201[.]135[.]35
37[.]48[.]65[.]151
207[.]244[.]67[.]218
199[.]115[.]115[.]116
109[.]201[.]135[.]71
207[.]244[.]67[.]216
199[.]115[.]115[.]102
37[.]48[.]65[.]148
199[.]115[.]115[.]119
207[.]244[.]67[.]214
81[.]171[.]22[.]5
5[.]79[.]68[.]110
207[.]244[.]67[.]215
96[.]47[.]230[.]67
95[.]211[.]75[.]25
108[.]61[.]19[.]12
172[.]93[.]194[.]60
108[.]61[.]19[.]11
85[.]159[.]233[.]44
78[.]41[.]204[.]28
162[.]210[.]196[.]167
162[.]222[.]213[.]196
78[.]41[.]204[.]34
78[.]41[.]204[.]39
162[.]222[.]213[.]199
109[.]201[.]133[.]56
162[.]210[.]199[.]65
209[.]126[.]123[.]11
109[.]201[.]133[.]23
209[.]126[.]123[.]13
37[.]48[.]65[.]155
109[.]201[.]133[.]68
95[.]211[.]75[.]10
95[.]211[.]75[.]26
95[.]211[.]75[.]16
207[.]244[.]67[.]172
207[.]244[.]67[.]173
108[.]61[.]19[.]13
46[.]166[.]182[.]54
108[.]61[.]19[.]14
162[.]222[.]213[.]197
5[.]79[.]68[.]107
104[.]237[.]196[.]115
81[.]171[.]22[.]7
172[.]93[.]194[.]62
5[.]79[.]68[.]108
46[.]166[.]182[.]62
184[.]168[.]221[.]79
104[.]27[.]176[.]87
104[.]27[.]177[.]87
109[.]201[.]133[.]54
162[.]210[.]196[.]166
162[.]210[.]199[.]87
37[.]48[.]65[.]152
199[.]115[.]116[.]216
209[.]126[.]123[.]12
207[.]244[.]65[.]58
37[.]48[.]65[.]143
37[.]48[.]65[.]136
162[.]210[.]199[.]85
37[.]48[.]65[.]154
109[.]201[.]133[.]73
37[.]48[.]65[.]153
37[.]48[.]65[.]145
162[.]210[.]196[.]168
52[.]0[.]217[.]44
23[.]20[.]239[.]12
52[.]54[.]24[.]134
52[.]6[.]128[.]155
91[.]195[.]240[.]13
74[.]208[.]236[.]102
31[.]220[.]16[.]53
31[.]31[.]204[.]59
103[.]41[.]71[.]252
104[.]21[.]64[.]203
104[.]24[.]117[.]5
172[.]67[.]136[.]54
104[.]24[.]116[.]5
154[.]92[.]19[.]56
107[.]161[.]23[.]204
192[.]161[.]187[.]200
209[.]141[.]38[.]71
50[.]63[.]202[.]53
104[.]21[.]61[.]156
172[.]67[.]211[.]138
160[.]153[.]128[.]46
172[.]67[.]70[.]135
104[.]26[.]3[.]83
104[.]26[.]2[.]83
162[.]159[.]138[.]85
162[.]159[.]137[.]85
172[.]67[.]74[.]48
104[.]26[.]10[.]44
104[.]26[.]11[.]44
172[.]67[.]186[.]213
104[.]21[.]60[.]9
104[.]21[.]51[.]145
172[.]67[.]181[.]106
104[.]21[.]69[.]194
104[.]24[.]124[.]54
104[.]24[.]125[.]54
172[.]67[.]212[.]102
172[.]64[.]166[.]18
172[.]64[.]167[.]18
172[.]64[.]194[.]2
172[.]64[.]195[.]2
104[.]18[.]42[.]185
172[.]67[.]176[.]254
104[.]18[.]43[.]185
172[.]64[.]132[.]21
172[.]64[.]133[.]21
104[.]18[.]45[.]185
172[.]67[.]176[.]253
104[.]18[.]44[.]185
172[.]67[.]187[.]191
104[.]21[.]68[.]57
104[.]21[.]43[.]43
172[.]67[.]219[.]48
172[.]67[.]215[.]32
104[.]21[.]59[.]56
172[.]67[.]190[.]82
104[.]21[.]76[.]60
172[.]67[.]159[.]196
104[.]21[.]9[.]111
104[.]21[.]9[.]110
172[.]67[.]159[.]195
104[.]21[.]9[.]109
172[.]67[.]159[.]194
104[.]21[.]83[.]91
172[.]67[.]220[.]239
172[.]67[.]165[.]64
104[.]27[.]145[.]226
172[.]67[.]207[.]132
104[.]18[.]40[.]76
104[.]18[.]41[.]76
104[.]31[.]83[.]75
104[.]31[.]82[.]75
104[.]24[.]124[.]157
104[.]24[.]125[.]157
104[.]27[.]151[.]157
104[.]27[.]150[.]157
172[.]64[.]99[.]15
172[.]64[.]98[.]15
172[.]64[.]173[.]16
172[.]64[.]203[.]29
172[.]64[.]202[.]29
172[.]64[.]96[.]28
172[.]64[.]97[.]28
104[.]31[.]68[.]221
172[.]67[.]166[.]166
104[.]31[.]69[.]221
172[.]67[.]146[.]41
104[.]18[.]53[.]227
104[.]18[.]52[.]227
172[.]67[.]165[.]4
172[.]64[.]111[.]14
172[.]64[.]110[.]14
172[.]64[.]170[.]34
172[.]64[.]171[.]34
172[.]64[.]207[.]12
172[.]64[.]206[.]12
104[.]27[.]144[.]226
104[.]21[.]79[.]147
104[.]21[.]55[.]52
172[.]67[.]144[.]212
172[.]64[.]137[.]22
172[.]67[.]184[.]144
104[.]21[.]76[.]2
172[.]67[.]168[.]239
104[.]21[.]79[.]32
172[.]64[.]202[.]7
172[.]64[.]203[.]7
172[.]67[.]222[.]59
104[.]21[.]46[.]11
104[.]21[.]49[.]148
172[.]67[.]163[.]242
172[.]67[.]220[.]103
104[.]21[.]62[.]52
172[.]64[.]169[.]16
172[.]64[.]168[.]16
172[.]64[.]105[.]13
104[.]21[.]40[.]11
172[.]64[.]167[.]16
172[.]67[.]173[.]216
172[.]64[.]166[.]16
188[.]114[.]96[.]2
172[.]64[.]137[.]31
188[.]114[.]97[.]2
172[.]64[.]136[.]31
188[.]114[.]96[.]3
104[.]18[.]40[.]160
104[.]21[.]76[.]225
104[.]18[.]41[.]160
172[.]67[.]201[.]234
172[.]64[.]172[.]16
104[.]21[.]70[.]92
104[.]24[.]113[.]28
172[.]67[.]222[.]47
104[.]24[.]112[.]28
104[.]21[.]86[.]68
178[.]128[.]139[.]249
172[.]67[.]216[.]91
167[.]99[.]215[.]175
104[.]21[.]39[.]132
185[.]165[.]123[.]206
172[.]67[.]145[.]207
45[.]77[.]55[.]61
172[.]67[.]146[.]78

Sample photos of the individuals behind the campaign:









Sample related MD5s known to have phoned back to these domains:
7a6f2d84c3eb8db4d91ce07ea3ac9772bd5fea06fe2c762f0077cba876ed4b13
994ecf65c45d64965191445dcd5408eab1cd5b8a99a7073968da5cd14036ea4b
7c074a18640479cc1073f56dedd3b7794ffd7d3c1605f3660cd2d5c480b55dcc
d14461d2642994a3ef194c6f1c4d542d48bc8d6ccbf16f18a3e4ef0d61739ca5
fd5541baaabab71fa71762c8490205dbc16af038a5243923593845f922b501ee
411cfd693f38f0b39d5689e48b5b7ec4d660ba95a1ec6d842d8fcc1b116994a7
2e12c3bf63facebb6e4fac6e2b0ee715de2127d4ace510b1a188158d3588fabc
d29544e4e66e74468d38f667603a55da657cd10b5ec999e615b9a7b920f32441
3305706d89aa2ef1e0a03f381f94c78c00b11b2bd5b400d73ee010c876bd77cc
68130f4b25cfa991c20f73b508a795a7a81b54d04fb7b39d3fb663aae43dee4a
c64edf4e3c7fa154fe85eb3dd69e99a561dcfae16e24a4f5360527b2137f8925
75a2a61d9822fcf3b41b43a2a9b2bfa2bc7b723aa57180b404e6bc9b36d18337
2164f91e3aad0cc69015d0ba9e33d6cdcf7595c48161c2858566e64008ef9ae9
a9c93131325212be8fc88c6b8cb9b83a32c7c39875b2861d79fec1851a067f6a
78e72c1ca6d4c2c0e4bb9be957d6a8302ddd0c24d3c51f28482c5211f9c90074
ad01f17ebf40b4d66598fb30be1a84a5f3fdda301b8bed285b6b2c966d68c463

The domains are currently seized and sinkholed by the ShadowServer Foundation.

Stay tuned!

About the author

Donec non enim in turpis pulvinar facilisis. Ut felis. Praesent dapibus, neque id cursus faucibus. Aenean fermentum, eget tincidunt.

0 Comments:

Subscribe to: Post Comments (Atom)