Moshen Dragon APT IOCs

security IOC

Недавно компания SentinelLabs обнаружила активность, направленную на телекоммуникационный сектор в Центральной Азии, используя инструменты и TTP, обычно ассоциируемые с китайскими APT-акторами. Угрожающий субъект систематически использовал программное обеспечение, распространяемое поставщиками систем безопасности, для боковой загрузки вариантов ShadowPad и PlugX. Часть активности частично пересекается с группами угроз, отслеживаемыми другими производителями, такими как RedFoxtrot и Nomad Panda. Они регистрируют этот кластер активности как "Moshen Dragon".

Moshen Dragon

Участники Moshen Dragon систематически злоупотребляли защитным программным обеспечением для выполнения перехвата порядка поиска DLL. Перехваченная DLL, в свою очередь, используется для расшифровки и загрузки конечной полезной нагрузки, хранящейся в третьем файле, расположенном в той же папке.

Способ развертывания полезной нагрузки, а также другие действия в целевых сетях позволяют предположить, что Moshen Dragon использует IMPACKET для латерального перемещения. После выполнения некоторые полезные нагрузки становятся устойчивыми, создавая запланированную задачу или службу.

Поскольку основная часть деятельности Moshen Dragon была выявлена и заблокирована, последовательно развертывал новые вредоносные программы, используя пять различных продуктов безопасности для загрузки вариантов PlugX и ShadowPad.

Краткая информация о взломанном программном обеспечении представлена ниже:

Symantec SNAC C:\Windows\AppPatch, C:\ProgramData\SymantecSNAC, C:\ProgramData\Symantec\SNAC, C:\Windows\Temp
TrendMicro Platinum Watch Dog C:\Windows\ AppPatch
BitDefender SSL Proxy Tool C:\ProgramData\Microsoft\Windows, C:\ProgramData\Microsoft\Windows\LfSvc, C:\ProgramData\Microsoft\Windows\WinMSIPC, C:\ProgramData\Microsoft\Windows\ClipSVC, C:\ProgramData\Microsoft\Wlansvc, C:\ProgramData\Microsoft\Windows\Ringtones
McAfee Agent C:\ProgramData\McAfee, C:\ProgramData\Microsoft\WwanSvc, C:\ProgramData\Microsoft\WinMSIPC
Kaspersky Anti-Virus Launcher C:\ProgramData\Microsoft\XboxLive, C:\programdata\GoogleUpdate

Indicator of Compromise

Domains

  • dhsg123.jkub.com
  • final.staticd.dynamic-dns.net
  • freewula.strangled.net
  • gfsg.chickenkiller.com
  • greenhugeman.dns04.com
  • pic.farisrezky.com
  • szuunet.strangled.net

SHA1

  • 2294ecbbb065c517bd0e01f3f01aabd0a0402f5a
  • 308ed56dc1fbc98b574f937d4b005190c878416f
  • 3c6a51961aa328ba507796153234309a5e83bee3
  • 4025e14a7f8928753ba06ad155944624069497dc
  • 55e89f458b5f5642300dd7c50b444232e37c3fa7
  • b6c6c292cbd35298a5f055448177bcfd5d0b23bf
  • b85880ba6d38164dde4e77a15ab5e65cde7e357a
  • bb68816f324f2ac4f0d4756b66af67d01c8b6e4e
  • c4f1177f68676b770934b142f9c3e2c4eff7f164
  • e9e8c2e720f5179ff1c0ac30ce017224ac0b2f1b
  • ef3e558ecb313a74eeafca3f99b7d4e038e11516
  • f5b8ab4a7d9c723c2b3b842b49f66da2e1697ce0
  • fae572ad1beab78e293f756fd53cf71963fdb1bd
SEC-1275-1
Добавить комментарий