WatchDog APT IOCs

security IOC

Исследователи из Cado Labs недавно обнаружили повторное появление угрожающего агента WatchDog. WatchDog является оппортунистическим и известным агентом угроз, который известен тем, что регулярно проводит атаки криптоджекинга на ресурсы, размещенные различными поставщиками облачных услуг.

WatchDog по-прежнему активен и представляет значительную угрозу для пользователей провайдеров облачных услуг, таких как Tencent и Alibaba Cloud. В проанализированном сценарии оболочки было замечено несколько приемов, характерных для этого агента угрозы, а повторное использование определенного кошелька Monero сделало атрибуцию относительно простой.

Интересным наблюдением стало наличие кода, используемого для удаления исполняемых файлов TeamTNT. Cado Labs видели свидетельства того, что группы, занимающиеся облачным криптоджекингом, постоянно обновляют свои знания об угрозах, так что, возможно, это указывает на то, что WatchDog сталкивалась с доказательствами деятельности TeamTNT во время своих кампаний.

Indicators of Compromise

IPv4

  • 139.99.102.72
  • 80.211.206.105

IPv4 Port Combinations

  • 139.99.102.72:14433
  • 80.211.206.105:9000

Domains

  • bohemianpool.com
  • nanopool.org

SHA256

  • 47d69b281d9cbaca0638f8ca304d40fa04991c870ea8b65388bd42eb266cf2c0
  • c68a82fc2e8f27ef017a69b951c92d4336c6b657e8666dbb58395bac195d00cb
SEC-1275-1
Добавить комментарий