Roaming Mantis IOCs

security IOC

Roaming Mantis (он же Shaoye) - это долгосрочная кампания кибератак, которая использует вредоносные файлы пакетов Android (APK) для управления зараженными устройствами Android и кражи данных. В 2022 году "Касперский" заметил функцию смены DNS, реализованную во вредоносной программе Wroba.o для Android.

Еще в 2018 году Касперский впервые заметил деятельность Roaming Mantis, направленную на азиатский регион, включая Японию, Южную Корею и Тайвань. Тогда преступники скомпрометировали Wi-Fi роутеры для использования в перехвате DNS, что является очень эффективной техникой. Она была признана серьезной проблемой как в Японии, так и в Южной Корее. Через мошеннические DNS-серверы все пользователи, обращающиеся к взломанному маршрутизатору, перенаправлялись на вредоносную целевую страницу. С середины 2019 года до 2022 года преступники в основном использовали smishing вместо перехвата DNS для доставки вредоносного URL-адреса в качестве целевой страницы. Целевая страница определяла платформу устройства пользователя, чтобы предоставить вредоносные APK-файлы для Android или перенаправить на фишинговые страницы для iOS. Пользователи с зараженными устройствами Android, подключающиеся к бесплатным или публичным сетям Wi-Fi, могут распространять вредоносное ПО на другие устройства в сети, если сеть Wi-Fi, к которой они подключены, уязвима.

Indicators of Compromise

IPv4

  • 103.80.134.40
  • 103.80.134.41
  • 103.80.134.42
  • 103.80.134.48
  • 103.80.134.49
  • 103.80.134.50
  • 103.80.134.51
  • 103.80.134.52
  • 103.80.134.53
  • 103.80.134.54
  • 118.160.36.14
  • 134.122.137.14
  • 134.122.137.15
  • 134.122.137.16
  • 193.239.154.15
  • 193.239.154.16
  • 193.239.154.17
  • 193.239.154.18
  • 193.239.154.22
  • 198.144.149.131
  • 199.167.138.36
  • 199.167.138.38
  • 199.167.138.39
  • 199.167.138.40
  • 199.167.138.41
  • 199.167.138.43
  • 199.167.138.44
  • 199.167.138.45
  • 199.167.138.48
  • 199.167.138.49
  • 199.167.138.51
  • 199.167.138.52
  • 27.124.36.32
  • 27.124.36.34
  • 27.124.36.52
  • 27.124.39.241
  • 27.124.39.242
  • 27.124.39.243
  • 91.204.227.131
  • 91.204.227.132
  • 91.204.227.144
  • 91.204.227.145
  • 91.204.227.146
  • 91.204.227.32
  • 91.204.227.33
  • 91.204.227.39
  • 92.204.255.173

Domains

  • 1hy5.cwdqh.com
  • 3.wubmh.com
  • 3y.tmztp.com
  • 5.hmrgt.com
  • 53th.xgunq.com
  • 5c2d.zgngu.com
  • 8.ondqp.com
  • 9v.tbeew.com
  • d.vbmtu.com
  • g.dguit.com
  • j.vbrui.com
  • k.uvqyo.com
  • kwdd.cehsg.com
  • mh.mgtnv.com
  • o.wgvpd.com
  • r48.bgxbm.com
  • t9o.qcupn.com
  • vj.nrgsd.com
  • w3.puvmw.com
  • xtc9.rvnbg.com
  • y.vpyhc.com

URLs

  • http://107.148.162.237:26333/sever.ini

MD5

  • 2036450427a6f4c39cd33712aa46d609
  • 8efae5be6e52a07ee1c252b9a749d59f
  • 95a9a26a95a4ae84161e7a4e9914998c
  • ab79c661dd17aa62e8acc77547f7bd93
  • d27b116b21280f5ccc0907717f2fd596
  • f9e43cc73f040438243183e1faf46581
SEC-1275-1
Добавить комментарий