SparkRAT IOCs

remote access Trojan IOC

SentinelLabs отслеживает недавние атаки на восточноазиатские организации, которые они обозначаем как "DragonSpark". Атаки характеризуются использованием малоизвестного открытого источника SparkRAT и вредоносного ПО, которое пытается уклониться от обнаружения путем интерпретации исходного кода Golang.

Атаки DragonSpark представляют собой первую конкретную вредоносную активность, в ходе которой SentinelLabs наблюдала последовательное использование SparkRAT с открытым исходным кодом, что является относительно новым явлением на ландшафте угроз. SparkRAT является многоплатформенным, многофункциональным и часто обновляется новыми функциями, что делает RAT привлекательным для угрожающих субъектов.

Indicators of Compromise

IPv4

  • 104.233.163.190

IPv4 Port Combinations

  • 103.96.74.148:6688
  • 103.96.74.148:6699
  • 103.96.74.148:8899

URLs

  • http://13.213.41.125:9001/go.exe
  • http://211.149.237.108:801/m6699.exe
  • http://211.149.237.108:801/py.exe
  • http://43.129.227.159:81/c.exe
  • http://www.bingoplanet.com.tw/images/py.exe
  • http://www.holybaby.com.tw/api/ms.exe
  • https://www.moongallery.com.tw/upload/py.exe

SHA1

  • 14ebbed449ccedac3610618b5265ff803243313d
  • 2578efc12941ff481172dd4603b536a3bd322691
  • 83130d95220bc2ede8645ea1ca4ce9afc4593196
SEC-1275-1
Добавить комментарий