APT-C-35 IOCs

security IOC

APT-C-35 (Belly Brainworm), также известная как Donot, является оффшорной APT-группой из Южной Азии, которая занимается кибершпионажем против правительственных учреждений Пакистана и близлежащих регионов, с упором на кражу конфиденциальной информации. Атаки группы относятся к началу 2016 года, а в последние годы группа была активна и постоянно отслеживалась и раскрывалась несколькими национальными и международными группами безопасности.

В последнее время 360 Advanced Threat Research Institute неоднократно обнаруживал атакующую деятельность группы APT-C-35 (Belly Brainworm) в ходе ежедневной охоты за угрозами. В этом раунде атак группа по-прежнему использует макродокументы в качестве носителей вредоносного кода, выпускает вредоносные полезные нагрузки из себя и выполняет их, загружает модули удаленного управления через слои загрузки, чтобы реализовать операцию кражи, и вредоносный код всего процесса несет информацию цифровой подписи.

APT-C-35 (Belly Brainworm) использует в качестве вектора атаки документы PPT или XLS. Когда жертва открывает вредоносный документ, немедленно запускается zip-файл и пакетный файл, а также создаются 3 задания с таймером. Задача по расписанию Tls_SSL выполняет пакетный файл каждые 4 минуты, основная цель пакетного файла - распаковать выпущенный zip-файл для получения вредоносного исполняемого файла comd.exe и удалить задачу по расписанию Tls_SSL. Задача по расписанию My_Drive выполняет comd.exe через регулярные промежутки времени, comd.exe отвечает за продолжение загрузки следующего этапа. В то же время пакетный скрипт загружается в качестве элемента запуска запланированного задания Pls_SSL для запуска загруженной загрузки, основной функцией которой является загрузка модуля удаленного управления mnps.exe для осуществления вредоносной деятельности.

Группа APT-C-35 (Belly Brainworm) никогда не прекращала свою связанную с атаками деятельность с момента ее раскрытия в 2016 году и имеет тенденцию становиться все более активной. Злоумышленники в этой атаке загружают полезную нагрузку через слои вредоносного кода и комбинируют ее с заданиями, рассчитанными по времени, для достижения стойкости. Кроме того, в своих последних атаках группа больше не использует вредоносные библиотеки DLL в качестве промежуточных компонентов атаки, а в некоторых полезных нагрузках используются подписанные исполняемые файлы EXE, что говорит о том, что группа постоянно обновляет функциональность и форму вредоносного кода и демонстрирует функциональную модульность.

Indicators of Compromise

Domains

  • best.tasterschoice.shop
  • blogs.libraryutilitis.live
  • blogs.tourseasons.xyz
  • furnish.spacequery.live

URLs

  • http://best.tasterschoice.shop/ceioriakgfigalrj/
  • http://blogs.libraryutilitis.live/hkjnlkhfshjkls2/nrjukurjhajrjh
  • http://blogs.libraryutilitis.live/nrasjkhrsjkdrhkdfjkB/klrjajlrjklrkljaklrjklasklf
  • http://blogs.libraryutilitis.live/olskh1ytg1s/vkajsrkaljrkjfa
  • http://blogs.libraryutilitis.live/pjnrasjkhrsjkdrhkdfjkB/klrjajlrjklrkljaklrjklasklf
  • http://blogs.libraryutilitis.live/pjvrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejka
  • http://blogs.libraryutilitis.live/redpanda/biorjkdkrkjrkj
  • http://blogs.libraryutilitis.live/redpanda1/bnrkajrkirklrl
  • http://blogs.libraryutilitis.live/thfjhsgjhtab/niiorjkrkjk
  • http://blogs.libraryutilitis.live/vrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejka
  • http://blogs.tourseasons.xyz/msiioi3kkx/irahjdfjkjkjlkjfjl
  • http://blogs.tourseasons.xyz/rhjhdjrjkfakjhrhjk
  • http://furnish.spacequery.live/rikkdkeiirt0or784jjk2/kdjj48djj46dTrjd7a
  • http://furnish.spacequery.live/uiscuerhsflkjs1/liorijfiahjruuehajkhrj
  • http://furnish.spacequery.live/uiuernsicudkfjs2/tiryu3kkdiesao
  • http://furnish.spacequery.live/xuiudguibat/nmioepjarjkuarkju
  • http://furnish.spacequery.live:443/uiscuerhsflkjs1/liorijfiahjruuehajkhrj
  • http://furnish.spacequery.live:443/xuiudguibat/nmioepjarjkuarkju
  • https://blogs.libraryutilitis.live/hkjnlkhfshjkls2/nrjukurjhajrjh
  • https://blogs.libraryutilitis.live/vrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejka

MD5

  • 06e0d216969caa0dfd98269a860b153b
  • 105fa5bc6ce7afb40b02054d669e9204
  • 10de5e96ca4ba920f4b7b67258033fdb
  • 1e606b8a3c288f988152456af206ff72
  • 1fb52729c33875ad0be381e98b143673
  • 309c1cd225571b18c82a1a25aff6ad02
  • 3cd6fc1309294e4eb4bfb2e861e2f570
  • 3e6ba2c0128030844d4a02088774802b
  • 43298c256c4dc626a5788caa3e309d56
  • 676a10be289cf8978af6cdbdba536678
  • 68c6c735918e55954b3d22ce72c769a6
  • 828174ee0a9f25eaad48957ced66b81d
  • 8bee6f27245daf1c860713affb575731
  • 9060531460f7152ca156aeeca090a13c
  • 992acca21f1f0d818fb7d599d69d93b7
  • 993befa3da4e0d10ee61f0b78c18d4cd
  • b8cdc170848ed8716de3653a5f1e533f
  • c9c77a74e732d8d4b37aab1037e6569a
  • d4d0fc82312c60b6084ccab7245530a9
  • d5166aa339e25f3f7f9d1d7a186650bc
  • d947bf46867d66e645071d53d6b106bb
  • dbd11c7f0074580015daa16b5900ac7b
  • e55d17ba37bfba78dc4cdbd8cca9f36b
  • fac06f63a30fcef45c3e7763442ed2ac
SEC-1275-1
Добавить комментарий