UNC4191 Malware IOCs

malware IOC

Компания Mandiant Managed Defense недавно выявила активность кибершпионажа, которая в значительной степени использует USB-устройства в качестве начального вектора заражения и сосредоточена на Филиппинах. Mandiant отслеживает эту деятельность как UNC4191 и считает, что она связана с Китаем.


Операции UNC4191 затронули ряд организаций государственного и частного сектора, главным образом в Юго-Восточной Азии, а также в США, Европе и Азиатско-Тихоокеанском регионе; однако, даже когда организации-мишени находились в других местах, конкретные системы, атакованные UNC4191, также были физически расположены на Филиппинах.
После первоначального заражения через USB-устройства, угрожающий субъект использовал подписанные законным образом двоичные файлы для побочной загрузки вредоносного ПО, включая три новых семейства, которые Mandiant называет MISTCLOAK, DARKDEW и BLUEHAZE.

Успешная компрометация приводила к развертыванию переименованного двоичного файла NCAT и выполнению обратного командного интерпретатора на системе жертвы, обеспечивая доступ к черному ходу для угрожающего агента. Вредоносная программа самовоспроизводится путем заражения новых съемных дисков, подключаемых к взломанной системе, что позволяет вредоносной полезной нагрузке распространяться на дополнительные системы и потенциально собирать данные с систем воздушного наблюдения.

Mandiant наблюдала, как UNC4191 развертывал следующие семейства вредоносных программ:

  • MISTCLOAK: программа запуска, написанная на C++, которая выполняет зашифрованную исполняемую полезную нагрузку, хранящуюся в файле на диске.
  • BLUEHAZE: программа запуска, написанная на C/C++, которая запускает копию NCAT для создания обратной оболочки к жестко закодированной команде управления (C2).
  • DARKDEW: дроппер, написанный на C++, способный заражать съемные диски.
  • NCAT: сетевая утилита командной строки, которая была написана для проекта Nmap для выполнения широкого спектра задач по обеспечению безопасности и администрированию.

Хотя NCAT может использоваться в законных целях, субъекты угроз также могут использовать ее для загрузки или скачивания файлов, создания бэкдоров или обратных оболочек, а также туннелирования трафика для обхода сетевого контроля.

Indicators of Compromise

Domains

  • closed.theworkpc.com

MD5

  • 6900cf5937287a7ae87d90a4b4b4dec5
  • 707de51327f6cae5679dee8e4e2202ba
  • 7753da1d7466f251b60673841a97ac5a
  • 8ec339a89ec786b2aea556bedee679c7
  • c10abb9f88f485d38e25bc5a0e757d1e
  • ea7f5b7fdb1e637e4e73f6bf43dcf090
  • f45726a9508376fdd335004fca65392a
  • f632e4b9d663d69edaa8224a43b59033
SEC-1275-1
Добавить комментарий