Iron Tiger (APT27) IOCs

security IOC

Iron Tiger - это группа передовых постоянных угроз (APT), которая уже более десяти лет специализируется в основном на кибершпионаже. В 2022 году мы заметили, что они обновили SysUpdate, одно из своих пользовательских семейств вредоносных программ, чтобы включить новые функции и добавить поддержку заражения вредоносным ПО для платформы Linux.

Самый старый образец этой обновленной версии мы обнаружили в июле 2022 года. В то время мы отнесли образец к Iron Tiger, но еще не определили конечную полезную нагрузку. Только после обнаружения нескольких похожих полезных нагрузок в конце октября 2022 года Trend Micro стали искать дальше и обнаружили сходство с семейством вредоносных программ SysUpdate, которое также было обновлено в 2021 году. Как и в предыдущей версии, Iron Tiger усложнил логику загрузки, вероятно, в попытке обойти решения безопасности.

Эта новая версия имеет схожие черты с версией 2021 года, за исключением того, что классы информации о типе времени выполнения (RTTI) C++, которые мы ранее наблюдали в 2021 году, были удалены, а структура кода была изменена на использование асинхронной библиотеки ASIO C++. Оба изменения делают реверс-инжиниринг образцов более длительным.

Вот ключевые даты для понимания хронологии деятельности Iron Tiger:

  • 2 апреля 2022 года: регистрация доменного имени, связанного с нашим старейшим образцом SysUpdate для Windows.
  • 11 мая 2022 года: была создана командно-контрольная (C&C) инфраструктура.
  • 8 июня 2022 года: Хотя это могло быть подделано, наблюдаемая дата компиляции нашего самого старого образца Windows.
  • 20 июля 2022 года: Самый старый образец Windows загружен в Virus Total.
  • 24 октября 2022 года: Самый старый образец Linux загружен в Virus Total.

Trend Micro заметили, что злоумышленник зарегистрировал самое старое доменное имя за месяц до начала конфигурации C&C, а затем подождал еще месяц до компиляции вредоносного образца, связанного с этим доменным именем. Trend Micro считает, что разрыв между двумя обновлениями позволяет злоумышленникам соответствующим образом спланировать свои действия.

Indicators of Compromise

Domains

  • *.ns.mlnrm.com
  • *.ns.sportwo8.me
  • *.ns.sportxx.me
  • dev.gitlabs.me
  • jira.atlas-sian.net
  • oa.88tech.me
  • oa.myvandyke.net
  • order.myvandyke.net
  • ybupdate.me

SHA256

  • 08dd5a9fdc387855fb5a23c167abec63b22272f66de099155036c5ce7e4deeb8
  • 09a3231a300d794010c3f400617cd0b1b7aab7141735a2b8635a8362584e196d
  • 0cd3df91582551182a0decf662a112e59591cf07f3d107f09df3194f7d498e62
  • 0daa82650712f2338803521969f7dc7deebba0e34c4797a9e39d99595d7eb423
  • 11f21d08f819dea21a09c602a4391142a5648f3e17a07a24d41418fcc17ea83f
  • 123880edc91f7dc033a769d9523f783f7b426673ee95e9e33654cdfa95a6462c
  • 1e2b05838edfb0460fc97e2d7bab2271891c55ca0c895d4db30cf2acfaea51d2
  • 2027784b3f0e8e5f6add0aa42c6b9b6ea3e3e1af6373a465cb57b145d24373bf
  • 2ada1b48457c169cf3f80e248190374102615e2c89b70e574fba4ddc09b5fcd5
  • 39f90ef532307c23f485f6d337fd820651581aeb72f678477bcb106a3d831997
  • 3ac029e49ca71d948bfe1a7bc691967cf26cb5a731c7807d5be3cf6b579fa8ab
  • 3f808df5af6889c2219fd4982dd49946535528237cc00530cce5c69c3e7f0e34
  • 43ae4e624413a587667027c03416d78b2515ac9081b8c9c967aadb1157f49e55
  • 6d9031eb617096439bc8c8f7c32f4a11ffefc4326d99229fc78722873092e400
  • 735eddc24aa98f30d8e6839dc8c669f565aa760952af8d00d4f6fbfe6776631d
  • 76b5fa39d5b519e82e63466df1a6b2068cc9754343efbabf862924557c0fc213
  • 83209d9b8ebd0add8665e533d0948ae4e878ccc21ba5e3b00bea8833b59acf9a
  • 9499eabf880a55522c1b78d5afaa9ff34ae958950627ccd15099f2e771c9b0b1
  • 9add546cb9527f9d7e4930aaddec6e14c70d1400d0d531a9102efd4c83b27dd7
  • a8527a88fb9a48f043a0b762c7431fb52e601b72ff2fa0d35327e5cc72404edc
  • aad2e40411aa08e398cdf7397c7a1b3b7ab2a5ba833b6d65f68b145d51c2ed05
  • b504ab7a4a35e6deb34536d4663db696918961aadc03662b2c34e89b50ba10a1
  • b92a9dcdcf0bec8cd1e8b701dbf7bd6f7e68473a9e711267a4af8e4be783bb1e
  • ba1dabf7ff0a4bca8d7ff6e541b1930fc8328d240ba8a56ede96cc203daf6772
  • ba484eebda8dbe07b36eb07fa6c5cbb8d1dcc6638808cdcf7f33d7bab51d2805
  • c256b85747ad81e3f3f6c49ce496e77f024b302f921cb007a5f5375ac5b672d7
  • c65c435737ac02132d9dfeb6ec1d7d903648f61ecdda8a85b4250f064cb4673f
  • cc196ee155bf864071cbeec3ddcd3e2451a37d4296f53a024142c70193b9691d
  • d950cc937f4df9ab0bad44513d23ea7ecdfae2b0de8ba351018de5fb5d7b1382
  • ed5047461b2cccac4e81bd9fa73469d69468521174b981b5f76abb450c6fdabe
  • fac0009d615e98238cf348819b21f0dbbb462653c2257f1c6ef552838894e166
  • ff6502b16b0c2eebef15964fd6fcc60c23b4afa88bebe99cfc54ee73f11aeb62
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий