Mustang Panda APT IOCs - Part 6

security IOC
Опубликовано

С начала 2023 года компания Trend Micro заметила новые векторы проникновения, используемые Earth Preta (также известной как Mustang Panda), такие как MIROGO и QMAGENT. По их наблюдениям, группа расширяет свои цели на различные регионы, такие как Восточная Европа и Западная Азия, включая несколько стран региона APAC, таких как Тайвань, Мьянма и Япония.


Trend Micro подозревает, что для продолжения этой кампании группа использовала учетные записи Google, скомпрометированные в ходе предыдущей волны атак. После анализа им также удалось установить, что Earth Preta использовала различные техники для обхода различных решений безопасности. Наблюдая за используемыми Earth Preta C&C-серверами, специалисты Trend Micro отметили тенденцию группы к повторному использованию этих серверов в последующих волнах атак.

Наблюдая за различными кампаниями Earth Preta, специалисты Trend Micro заметили, что группировка склонна создавать свой арсенал, используя схожие протоколы C&C и возможности различных языков программирования, что свидетельствует о том, что действующие лица, стоящие за Earth Preta, вероятно, совершенствовали свои навыки разработки.

Однако из-за ошибок в оперативной безопасности они смогли получить скрипты за кадром и изучить рабочий процесс своих атак. Эволюция ТТП этой группы показывает, что она очень активна и что в будущем, вероятно, будут проводиться новые кампании с ее участием.

Indicators of Compromise

IPv4

  • 103.159.132.91
  • 103.169.90.132
  • 212.114.52.210
  • 5.188.33.190

URLs

  • http://103.159.132.91/f/alise_BAR
  • http://103.159.132.91/fav/trA
  • http://103.159.132.91/fav/trHatip
  • http://103.159.132.91/fav/trteamC
  • http://103.159.132.91/file/lv
  • http://103.159.132.91/file/tr
  • http://80.85.156.151/fav/eeAll
  • http://80.85.156.151/fav/gojpAll
  • http://80.85.156.232/fav/keIjp
  • http://80.85.156.232/fav/koIjp
  • http://80.85.156.232/fav/maSjp
  • http://80.85.156.232/fav/miTjp
  • http://80.85.156.240/fav/128tr
  • http://80.85.156.240/fav/128tw
  • http://80.85.156.240/fav/aMjp
  • http://80.85.156.240/fav/gTjp
  • http://80.85.156.240/fav/hKjp
  • http://80.85.156.240/fav/sNjp
  • http://80.85.156.240/fav/sWjp
  • https://em2in.johnsimde.xyz/f/LV
  • https://iot.johnsimde.xyz/f/TR
  • https://rewards.roshan.af/aspnet_client/acv.htm
  • https://rewards.roshan.af/aspnet_client/gdrive.htm
  • https://rewards.roshan.af/aspnet_client/View.htm
  • https://sa2il.johnsimde.xyz/f/LV

SHA256

  • 0c7be957c06b03a200514bf6a814877d9b30f5d27698358319408283a5d9d69b
  • 1305fda6be99ec42128c53b8b99534ee1e7bf485895fcdd11165e6d7a5ecb32a
  • 24be7331f4496d0ee8e62a1d9b2cc0fb5a675b3e3cedbf2160f7c49847545c54
  • 25d6404b35af07ac4e604b38eb932233a00c294f51a3d4aae121fa8bdb95bb5c
  • 2682888c53284609770b8bf76ee6b3ed5497d5686d36ca6469152b6fb329defb
  • 2ec26536f6ced38a2ac18fc6d9ae72b06d7cf39053708e3b0b5a0d27126845a8
  • 4761183bc8bff993a5551916eda73c84bb8f9eadd24c4c19587045bb91609a83
  • 5e3d5a3ef4d29acff5508ba2e411b9ea4e1278fcb597801e7a93156abda52ac9
  • 78c69914723c4bf083ab9d9a24e648e6e82865ed2a545db9d9c6573a34bf7e82
  • 88b895af07bce5e6ce8876c2651dba4864b6d7eae78b7938c951cc52fb98e745
  • 992e419f861624b1bc813f317521e688b4f61f38f8c2a10a52c7d4af2b935d0d
  • a1a3ccb050c1929c58967ad1fa43e0cb2f9428610caba22fcc1f833ff237b491
  • a4db43ee85cc5615e0de3a0142ef33e024688e91381d701889ebb4d7589a65a9
  • ae134a7687a191274ae00a44fcea24ccadc1612a336ca867ae6a033870c6a7c3
  • de74046d766c9201de8a39102b5d980e5eaa5d77726f6ed34cd8fe6585680219
  • e4981f406bf4a0a3f94b3cfb92b52c1dd5828767e36f531680128b458d5263f9
  • ea541b92156d65a629cf0499063a8fab57af7fa45acc1d6239b21c26d174a1c2
  • f56fc42afe52cea2ba01717d3b699b57985c5f1d6dd2913c16cac3e88a87f264
Похожие записи:
  1. Mustang Panda APT IOCs
  2. Iron Tiger компрометирует чат-приложение Mimi
  3. ZINC APT IOCs
  4. Mustang Panda APT IOCs - Part 2
  5. Cuba Ransomware APT IOCs
APT Earth Preta MIROGO Mustang Panda Phishing QMAGENT Trend Micro
Добавить комментарий