StrongPity Backdoor IOCs

security IOC

Исследователи ESET выявили активную кампанию StrongPity, распространяющую троянскую версию приложения Telegram для Android, представленную как приложение Shagle - сервис видеочата, не имеющий версии приложения.

  • Это первый случай, когда описанные модули и их функциональность были публично задокументированы.
  • Для распространения мобильного бэкдора StrongPity используется сайт-подражатель, имитирующий сервис Shagle.
  • Приложение представляет собой модифицированную версию приложения Telegram с открытым исходным кодом, перепакованную с кодом бэкдора StrongPity.
  • Основываясь на сходстве с предыдущим кодом бэкдора StrongPity и на том, что приложение подписано сертификатом из предыдущей кампании StrongPity, ESET приписывает эту угрозу группе StrongPity APT.
  • Бэкдор StrongPity является модульным, где все необходимые бинарные модули шифруются с помощью AES и загружаются с C&C сервера, и имеет различные функции шпионажа.

Indicators of Compromise

IPv4

  • 141.255.161.185
  • 185.12.46.138

Domains

  • intagrefedcircuitchip.com
  • networksoftwaresegment.com

SHA1

  • 3bfad08b9ac63af5ecf9aa59265ed24d0c76d91e
  • 50f79c7dfabecf04522aeb2ac987a800ab5ec6d7
  • 5127e75a8faf1a92d5bd0029af21548afa06c1b7
  • 5a15f516d5c58b23e19d6a39325b4b5c5590bde0
  • 77d6fe30dac41e1c90bdfae3f1cfe7091513fb91
  • bd40df3ad0ce0e91acca9488a2fe5feefe6648a0
  • d44818c061269930e50868445a3418a0780903fe
  • d9a71b13d3061be12ee4905647ddc2f1189f00de
  • e46b76cadbd7261fe750dbb9b0a82f262afeb298
  • ed02e16f0d57e4ad2d58f95e88356c17d6396658
  • f1a14070d5d50d5a9952f9a0b4f7ca7fed2199ee
  • f754874a76e3b75a5a5c7fe849ddae318946973b

 

SEC-1275-1
Добавить комментарий