SOGU Malware IOCs

malware IOC
Опубликовано

В первой половине 2023 года компания Mandiant Managed Defense отметила трехкратное увеличение числа атак с использованием зараженных USB-накопителей для кражи секретов. Mandiant отследила все случаи и обнаружила, что большинство инцидентов можно отнести к нескольким активным кампаниям по использованию USB-накопителей, затрагивающим как государственный, так и частный сектор по всему миру.

SOGU Malware

Заражение вредоносным ПО SOGU через USB-накопители в различных отраслях и географических регионах

Это самая распространенная атака кибершпионажа с использованием USB-накопителей и одна из самых агрессивных кампаний кибершпионажа, направленных на организации государственного и частного сектора по всему миру в различных отраслях. Она использует USB-накопители для загрузки вредоносной программы SOGU с целью кражи конфиденциальной информации с хоста.

Mandiant приписывает эту кампанию TEMP.Hex, связанному с Китаем субъекту кибершпионажа. Вероятно, TEMP.Hex проводит эти атаки с целью сбора информации для поддержки национальной безопасности и экономических интересов Китая. Эти атаки представляют опасность для различных отраслей промышленности, включая строительство и инжиниринг, бизнес-услуги, государственное управление, здравоохранение, транспорт и розничную торговлю в Европе, Азии и США.

Заражение вредоносным ПО SNOWYDRIVE через USB-накопители, направленное на организации нефтегазовой отрасли в Азии

В этой кампании для доставки вредоносной программы SNOWYDRIVE используются USB-накопители. После загрузки SNOWYDRIVE создает бэкдор в хост-системе, позволяя злоумышленникам удаленно выполнять системные команды. Кроме того, вредоносная программа распространяется на другие USB-накопители и распространяется по всей сети.

Mandiant связывает эту кампанию с UNC4698, агентом, атакующим нефтегазовые организации в Азии. Получив доступ к системе, злоумышленники выполняют произвольную полезную нагрузку с помощью командной строки Windows, используют съемные носители, создают локальные каталоги и модифицируют реестр Windows.

Indicators of Compromise

IPv4

  • 103.56.53.46
  • 43.254.217.165
  • 45.142.166.112
  • 45.251.240.55

Domains

  • www.beautyporntube.com

MD5

  • 028201d92b2b41cb6164430232192062
  • 38baabddffb1d732a05ffa2c70331e21
  • 722b15bbc15845e4e265a1519c800c34
  • 848feec343111bc11cceb828b5004aad
  • ab5d85079e299ac49fcc9f12516243de
  • b061d981d224454ffd8d692cf7ee92b7
  • e1cea747a64c0d74e24419ab1afe1970
  • ebb7749069a9b5bcda98d89f04d889db
  • fc55344597d540453326d94eb673e750

Похожие записи:

  1. UNC4191 Malware IOCs
  2. TAXHAUL Malware IOCs
  3. COSMICENERGY Malware IOCs
  4. Vidar Malware IOC
  5. MetaStealer Malware IOC
Malware Mandiant SOGU
Добавить комментарий