Lazarus APT IOCs - Part 10

security IOC
Опубликовано

Команда Elastic Security Labs обнаружила новый вариант вредоносного ПО RUSTBUCKET, семейство которого ранее было приписано группе BlueNorOff компанией Jamf Threat Labs в апреле 2023 года.

Lazarus Group

Этот вариант RUSTBUCKET, семейства вредоносных программ, нацеленных на системы macOS, добавляет ранее не наблюдавшиеся возможности сохранения и на момент составления отчета не обнаружен сигнатурными системами VirusTotal. Поведенческие и предварительно созданные правила обнаружения Elastic Defend обеспечивают защиту и наглядность для пользователей. Мы также выпустили сигнатуру для предотвращения выполнения этого вредоносного ПО.

В исследовании REF9135 использовался анализ хостов, двоичных файлов и сетей для идентификации и отнесения вторжений, замеченных этой исследовательской группой и другими разведывательными группами, с высокой степенью достоверности к Lazarus Group - организации киберпреступности и шпионажа, управляемой Северной Корейской Народно-Демократической Республикой (КНДР).

В данном исследовании будут описаны:

  • Использование RUSTBUCKET группой REF9135 для проведения устойчивых операций в компании, предоставляющей услуги криптовалютных платежей.
  • Обратный ход необнаруженного варианта RUSTBUCKET, добавляющего встроенный механизм персистенции
  • Как виктимология, первоначальное заражение, вредоносное ПО и сетевые C2 пересечения, полученные при первом и стороннем сборе, согласуются с предыдущими отчетами Lazarus Group

Indicators of Compromise

IPv4

  • 104.168.167.88
  • 64.44.141.15

Domains

  • companydeck.online
  • crypto.hondchain.com
  • docsend.linkpc.net
  • jaicvc.com
  • starbucls.xyz
  • webhostwatto.work.gd

SHA256

  • 1031871a8bb920033af87078e4a418ebd30a5d06152cd3c2c257aecdf8203ce6
  • 4f49514ab1794177a61c50c63b93b903c46f9b914c32ebe9c96aa3cbc1f99b16
  • 788261d948177acfcfeb1f839053c8ee9f325bd6fb3f07637a7465acdbbef76a
  • 7887638bcafd57e2896c7c16698e927ce92fd7d409aae698d33cdca3ce8d25b8
  • 7fccc871c889a4f4c13a977fdd5f062d6de23c3ffd27e72661c986fae6370387
  • 9ca914b1cfa8c0ba021b9e00bda71f36cad132f27cf16bda6d937badee66c747
  • de81e5246978775a45f3dbda43e2716aaa1b1c4399fe7d44f918fccecc4dd500
  • ec8f97d5595d92ec678ffbf5ae1f60ce90e620088927f751c76935c46aa7dc41
  • fe8c0e881593cc3dfa7a66e314b12b322053c67cbc9b606d5a2c0a12f097ef69
Похожие записи:
  1. RustBucket Malware IOCs
  2. TraderTraitor APT IOCs
  3. AppleJeus Malware IOCs
  4. Lazarus Group IOCs
  5. BlueNoroff APT IOCs - Part 2
Elastic Security Labs Lazarus Group RustBucket
Добавить комментарий