Dalbit (m00nlight) APT IOCs

security IOC

Эта группа всегда полагалась на инструменты с открытым исходным кодом и не имела каких-либо отличительных характеристик для их профилирования из-за отсутствия информации о PDB. Кроме того, количество информации, которую можно было собрать, было ограничено, если только пострадавшие корейские компании специально не попросили провести расследование, поскольку сервер C2 (Command&Control) агента угроз злоупотреблял серверами корейских компаний.

Dalbit (m00nlight) APT

Однако после того как часть серверов корейских компаний, используемых агентом угрозы, была заблокирована, агент угрозы начал использовать хостинг-сервер под названием "*.m00nlight.top" в качестве своего C2 и сервера загрузки. Таким образом, команда ASEC решила назвать эту группу Dalbit (m00nlight.top) в честь корейского слова, означающего "лунный свет".

С 2022 года эта группа совершила более 50 подтвержденных попыток атак на корейские компании. Большинство атакованных компаний были средними и малыми, а часть - крупными. Группа подтвердила, что 30% зараженных компаний использовали определенное корейское решение для группового ПО. В настоящее время трудно проверить, имеет ли этот продукт группового ПО уязвимость или нет, но если сервер, который подвергается такой опасности, имеет уязвимость, то есть шанс, что компании могут серьезно пострадать в результате утечки конфиденциальной информации и действия вымогательского ПО. Более того, эта группа Dalbit оставляет некоторые зараженные компании в качестве прокси-серверов и серверов загрузки, чтобы впоследствии использовать их как средство связи с субъектом угрозы при проникновении в другую компанию.

Поэтому мы настоятельно рекомендуем провести внутреннюю проверку безопасности, если пользователи подозревают, что они подверглись атаке этой группы Dalbit.

Первоначальный доступ

Объектом угрозы являются веб-серверы или SQL-серверы, к которым они получают доступ, используя уязвимости. Затем они пытаются контролировать системы с помощью таких инструментов, как WebShell.

Командование и контроль

Через WebShell загружаются различные инструменты взлома. Инструменты взлома включают различные двоичные файлы, такие как инструменты повышения привилегий, прокси-инструменты и инструменты сканирования сети.

Прокси и внутренняя разведка

Прокси: Угрожающий агент устанавливает прокси-инструмент, такой как FRP (Fast Reverse Proxy), перед попыткой подключения к 2-1) хостинг-серверу, созданному угрожающим агентом, или 2-2) серверу другой ранее зараженной компании (компании А) через удаленный рабочий стол (RDP).
Внутренняя разведка: Для внутренней разведки и получения информации используются такие инструменты, как средства сканирования сети и инструменты для кражи учетных записей.

Боковое перемещение

Полученная информация используется для перемещения на другой подключаемый сервер или ПК. После этого на ПК, который был успешно достигнут в результате латерального перемещения, также устанавливается прокси-инструмент (FRP), создавая среду, позволяющую субъекту угрозы подключиться через RDP. Затем необходимый уровень привилегий приобретается либо путем добавления определенной учетной записи, либо с помощью инструмента для кражи учетных данных, например, Mimikatz.

Последствия

В конечном итоге, после того как угрожающий субъект похищает всю необходимую информацию, он использует BitLocker для блокировки определенных дисков и требует выкуп.

Indicators of Compromise

IPv4

  • 101.43.121.50
  • 103.118.42.208
  • 205.185.122.95
  • 45.136.186.19
  • 45.93.31.122
  • 45.93.31.75
  • 91.217.139.117

IPv4 Port Combinations

  • 45.136.186.175:443
  • 45.93.28.103:8080
  • 45.93.31.75:7777

URLs

  • http://sk1.m00nlight.top:80
  • https://fk.m00nlight.top:443
  • https://aa.zxcss.com:443

MD5

  • 011cedd9932207ee5539895e2a1ed60a
  • 0311ee1452a19b97e626d24751375652
  • 0359a857a22c8e93bc43caea07d07e23
  • 059d98dcb83be037cd9829d31c096dab
  • 07191f554ed5d9025bc85ee1bf51f975
  • 0bbfaea19c8d1444ae282ff5911a527b
  • 0ca345bc074fa2ef7a2797b875b6cd4d
  • 0cc22fd05a3e771b09b584db0a161363
  • 10f4a1df9c3f1388f9c74eb4cdf24e7c
  • 1aca4310315d79e70168f15930cc3308
  • 1f2432ec77b750aa3e3f72c866584dc3
  • 21c7b2e6e0fb603c5fdd33781ac84b8f
  • 21d268341884c4fc62b5af7a3b433d90
  • 22381941763862631070e043d4dd0dc2
  • 23c0500a69b71d5942585bb87559fe83
  • 27ec6fb6739c4886b3c9e21b6b9041b6
  • 2866f3c8dfd5698e7c58d166a5857e1e
  • 28e026b9550e4eb37435013425abfa38
  • 29274ca90e6dcf5ae4762739fcbadf01
  • 2c3de1cefe5cd2a5315a9c9970277bd7
  • 2ceabffe2d40714e5535212d46d78119
  • 31c4a3f16baa5e0437fdd4603987b812
  • 323a36c23e61c6b37f28abfd5b7e5dfe
  • 33129e959221bf9d5211710747fddabe
  • 3665d512be2e9d31fc931912d5c6900e
  • 3cbea05bf7a1affb821e379b1966d89c
  • 3dc8b64b498220612a43d36049f055ab
  • 46f366e3ee36c05ab5a7a319319f7c72
  • 48b99c2f0441f5a4794afb4f89610e48
  • 4bafbdca775375283a90f47952e182d9
  • 4eb5eb52061cc8cf06e28e7eb20cd055
  • 4fc81fd5ac488b677a4c0ce5c272ffe3
  • 52ff6e3e942ac8ee012dcde89e7a1116
  • 53271b2ab6c327a68e78a7c0bf9f4044
  • 5d33609af27ea092f80aff1af6ddf98d
  • 5e0845a9f08c1cfc7966824758b6953a
  • 612585fa3ada349a02bc97d4c60de784
  • 61a687b0bea0ef97224c7bd2df118b87
  • 622f060fce624bdca9a427c3edec1663
  • 678dbe60e15d913fb363c8722bde313d
  • 68403cc3a6fcbeb9e5e9f7263d04c02f
  • 6983f7001de10f4d19fc2d794c3eb534
  • 69c7d9025fa3841c4cd69db1353179cf
  • 6a20945ae9f7c9e1a28015e40758bb4f
  • 6b4c7ea91d5696369dd0a848586f0b28
  • 6b5bccf615bf634b0e55a86a9c24c902
  • 7307c6900952d4ef385231179c0a05e4
  • 75fe1b6536e94aaee132c8d022e14f85
  • 784becfb944dec42cccf75c8cf2b97e3
  • 7b40aa57e1c61ecd6db2a1c18e08b0af
  • 7bd775395b821e158a6961c573e6fd43
  • 7ce988f1b593e96206a1ef57eb1bec8a
  • 7d9c233b8c9e3f0ea290d2b84593c842
  • 80f421c5fd5b28fc05b485de4f7896a1
  • 85a6e4448f4e5be1aa135861a2c35d35
  • 87e5c9f3127f29465ae04b9160756c62
  • 88bef25e4958d0a198a2cc0d921e4384
  • 8de8dfcb99621b21bf66a3ef2fcd8138
  • 937435bbcbc3670430bb762c56c7b329
  • 942d949a28b2921fb980e2d659e6ef75
  • 96b23ff19a945fad77dd4dd6d166faaa
  • 9b0e4652a0317e6e4da66f29a74b5ad7
  • 9f55b31c66a01953c17eea6ace66f636
  • 9fe61c9538f2df492dff1aab0f90579f
  • a03b57cc0103316e974bbb0f159f78f6
  • a29f39713ce6a92e642d14374e7203f0
  • a69d3580921ec8adce64c9b38ac3653a
  • ab9091f25a5ad44bef898588764f1990
  • acacf51ceef8943f0ee40fc181b6f1fa
  • ae8acf66bfe3a44148964048b826d005
  • af002abd289296572d8afadfca809294
  • b33a27bfbe7677df4a465dfa9795ff4a
  • b434df66d0dd15c2f5e5b2975f2cfbe2
  • b5bdf2de230722e1fe63d88d8f628ebc
  • b998a39b31ad9b409d68dcb74ac6d97d
  • bb8bdb3e8c92e97e2f63626bc3b254c4
  • bc744a4bf1c158dba37276bf7db50d85
  • bcfca13c801608a82a0924f787a19e1d
  • c0452b18695644134a1e38af0e974172
  • c17cfe533f8ce24f0e41bd7e14a35e5e
  • c44457653b2c69933e04734fe31ff699
  • c4e39c1fc0e1b165319fa533a9795c44
  • c4f18576fd1177ba1ef54e884cb7a79d
  • c72750485db39d0c04469cd6b100a595
  • c802dd3d8732d9834c5a558e9d39ed37
  • c87ac56d434195c527d3358e12e2b2e0
  • c908340bf152b96dc0f270eb6d39437f
  • cbee2fd458ff686a4cd2dde42306bba1
  • cca50cdd843aa824e5eef5f05e74f4a5
  • d331602d190c0963ec83e46f5a5cd54a
  • d4d8c9be9a4a6499d254e845c6835f5f
  • d5054ed83e63f911be46b3ff8af82267
  • d6cb8b66f7a9f3b26b4a98acb2f9d0c5
  • d82481e9bc50d9d9aeb9d56072bf3cfe
  • d8d36f17b50c8a37c2201fbb0672200a
  • df8f2dc27cbbd10d944210b19f97dafd
  • e0f4afe374d75608d604fbf108eac64f
  • e31b7d841b1865e11eab056e70416f1a
  • e3af60f483774014c43a7617c44d05e7
  • e5b626c4b172065005d04205b026e446
  • e7b7bf4c2ed49575bedabdce2385c8d5
  • e981219f6ba673e977c5c1771f86b189
  • e9bd5ed33a573bd5d9c4e071567808e5
  • edb685194f2fcd6a92f6e909dee7a237
  • f01a9a2d1e31332ed36c1a4d2839f412
  • f5271a6d909091527ed9f30eafa0ded6
  • f6da8dc4e1226aa2d0dabc32acd06915
  • f6f0d44aa5e3d83bb1ac777c9cea7060
  • f978d05f1ebeb5df334f395d58a7e108
  • fb6bf74c6c1f2482e914816d6e97ce09
  • fbae6c3769ed4ae4eccaff76af7e7dfe
  • fc9abba1f212db8eeac7734056b81a6e
  • fca13226da57b33f95bf3faad1004ee0
  • fcb7f7dab6d401a17bd436fc12a84623
  • fd0f73dd80d15626602c08b90529d9fd
SEC-1275-1
Добавить комментарий