Kasablanka APT IOCs

security IOC

APT-группы часто используют некоторые необычные типы файлов для размещения вредоносного кода с целью повышения вероятности защиты от антивирусного ПО, например, файлы образов CD-ROM (.iso) и файлы виртуальных жестких дисков (.vhd), злоупотребления которыми мы отслеживали в последние годы. А использование этих двух форматов позволяет эффективно обходить механизм MOTW (мера безопасности, при которой Windows выводит предупреждающее сообщение, когда пользователь пытается открыть файл, загруженный из Интернета).

Прочесывая недавно загруженные vhdx-файлы, Qianxin обнаружили, что с сентября по декабрь 2022 года группа "Касабланка" подозревается в атаках на Россию, а ее цели включают Российское федеральное агентство правительственного сотрудничества, Министерство внешних связей Астраханской области России и т.д., причем уровень обнаружения некоторых образцов всегда равен 0.

Анализируя и систематизируя перехваченные образцы, группа Kasablanka использовала в качестве точки входа для атаки социально сконструированное фишинговое письмо с прикрепленным файлом образа виртуального диска, в который вложены различные виды полезной нагрузки следующего этапа, включая lnk-файлы, zip-пакеты и исполняемые файлы. На ранних стадиях атаки конечным исполняемым файлом был коммерческий троянец Warzone RAT, на более поздних стадиях атаки мы наблюдали, что исполняемый троянец сменился на Loda RAT.

Indicators of Compromise

IPv4

  • 179.60.150.118
  • 193.149.129.151
  • 193.149.176.254
  • 45.61.137.32
  • 89.22.233.149

MD5

  • 00b9b126a3ed8609f9c41971155307be
  • 0dcd949983cb49ad360428f464c19a9e
  • 11ed3f8c1a8fce3794b650bbdf09c265
  • 23d5614fcc7d2c54ed54fb7d5234b079
  • 32a0a7fa5893dd8d1038d1d1a9bc277a
  • 4d75d26590116a011cbebb87855f4b4f
  • 4f7e2f5b0f669599e43463b70fb514ad
  • 56d1e9d11a8752e1c06e542e78e9c3e4
  • 574e031a4747d5e6315b894f983d3001
  • 6b42e4c5aecd592488c4434b47b15fbb
  • 6be3aecc5704c16bf275e17ca8625f46
  • 6d710d1a94445efb0890c8866250958e
  • 87125803f156d15ed3ce2a18fe9da2b8
  • 8a548f927ab546efd76eeb78b8df7d4c
  • 8f52ea222d64bbc4d629ec516d60cbaf
  • 9ea108e031d29ee21b3f81e503eca87d
  • a07c6e759e51f856c96fc3434b6aa9f8
  • bd5c665187dfb73fc81163c2c03b2ddf
  • c3b3cb77fcec534763aa4d3b697c2f8c
  • d82743e8f242b6a548a17543c807b7b0
  • db9f2d7b908755094a2a6caa35ff7509
  • e4a678b4aa95607a2eda20a570ffb9e1
SEC-1275-1
Добавить комментарий