RedCurl APT IOCs

security IOC
Опубликовано

Компания FAССT сообщила о новых атаках хак-группы RedCurl, специализирующейся на коммерческом шпионаже и краже корпоративной документации. На этот раз одной из жертв русскоговорящих хакеров стал крупный российский банк. Киберпреступники атаковали финансовое учреждение дважды: сначала напрямую с помощью таргетированных фишинговых рассылок от имени крупного российского маркетплейса, а затем — через компанию-подрядчика.

Осенью 2022 года Red Curl провели успешную атаку по типу Supply Chain на крупный российский банк из перечня системно значимых кредитных организаций.

  • В фишинговых рассылках кибершпионы использовали бренд известного российского маркетплейса.
  • Обнаружен новый инструмент RedCurl.SimpleDownloader, адаптированный под кампанию.
  • RedCurl обновила уже известные инструменты.
  • В июне-июле 2023 была обнаружена новая атака RedCurl, направленная на неизвестную австралийскую организацию с использованием бренда международной компании по перевозке грузов.

Indicators of Compromise

URLs

  • http://app-ins-001.amscloudhost.com/dn01
  • http://app-l01.msftcloud.click/ldn07_dhl_au/
  • http://buyhighroad.scienceontheweb.net
  • http://earthmart.c1.biz
  • http://l-dn-01.msftcloud.click
  • http://l-dn-02.msftcloud.click
  • http://m-dn-001.amscloudhost.com/
  • http://m-dn-002.amscloudhost.com/
  • http://tdnmouse.atspace.eu
  • http://worldhome.mypressonline.com

MD5

  • 00dc05c9a887a972fe6040904ce34937
  • 2b3dda526117ddc74c6283d907fcba6c
  • 46a7d14e899171a136f69782a5cbbe35
  • 51ba3108516b2d30227e0d80bb9a5dda
  • 54f2742ab47c2beef37a622af4026f29
  • 6ece95df231083c37ecf9a39c324e2bb
  • 7fd2a533dbf1a50f48d830c168bc901b
  • 8e4735922d2603c1df0f3fae4271fdf4
  • 9d7d79c17dab6ff01c5804866eb4c81d
  • a01c3614978eead50b432df5f774acb5
  • a228abbbc4606dd1b64f029de905c8e8
  • a7b515678444d3590acf45bfc508b784
  • e834b9ab51d89058bccdcc1f08ad7cda
  • f3ee2284890a60062f5368e362a6257e

SHA1

  • 1004309c4567b45f3ecc7219765a1584aff6deec
  • 1d1a59b1a3a9e5477ff6763ff97f90b52613932d
  • 2879784ff893812213e11d712679e3fb006ac99e
  • 350c9700a5667e97b78eb54e0235957a5dbb08e8
  • 61d31505561f0d01bfab58964e9e835ea5637700
  • 6eef78d1444ddc164bd3475118c83eb29413cc98
  • 7d01c27e827e02f32f12ada25da929fa911e965c
  • 7ec919cb8ea81f9b2c382e4fcb84a97796396bfe
  • 9939f68875e6592a08a82a04bc9a493fcf7d5ba6
  • a1cb733708debb4c51967bf56ca0a0f750156cfa
  • a30c313b6b072221d1a5d92c8669e01b491e9309
  • ab32db7847e5e4020399963cbf746390017bb8e1
  • b78de4dbe050fe2a320c5e5b7bcd6000f7f455be

SHA256

  • 06393bb2ef7bd7a6932463aba0a7b380a68f2e2902dda2938e87650d09f38b04
  • 2bee152f88d58fb7561c47c19b7711b8446ddd8a53988981e2b9f0ad9c247c5f
  • 2c924c954a579c71a80fd002c46ba2c6185a2936b4b3dc6752028485280f8852
  • 3bd054a5095806cd7e8392b749efa283735616ae8a0e707cdcc25654059bfe6b
  • 4188c953d784049dbd5be209e655d6d73f37435d9def71fd1edb4ed74a2f9e17
  • 57e93d2fca14439cbd75a09f2e2cb7543522350a39025f5db96dbd24dddcacc8
  • b17bc74e356f7f6c45a3eb25b9dae364e5ff9d313800c2800c1044517839dfa5
  • baf4d0c2a23f208951321e767b80f42f752dd79e04bdcfec64a97cb92aa4caf6
  • c2025f23e333c5c3030afee647b509cbc41e3c1ccb7d5ee0a6e6dd9b67e17e60
  • c848903b22087c4f037103ea3ea00cfbbb6f682bac60e0b2bff36a38242798c4
  • d2e1bb8ababa336297a3c7ffc4882b2a33659ed6c549c6a0df8a5ed84afd7e3c
  • e7b881cd106aefa6100d0e5f361e46e557e8f2372bd36cefe863607d19471a04
  • e882e136fb56b10a1bc0691b7a7560d981d7d00abe59e15e3e85b89d90b461fa
Похожие записи:
  1. BlackCat (BlackMatter) APT IOC
  2. TraderTraitor APT IOCs
  3. Earth Berberoka APT IOCs
  4. LAPSUS$ APT IOCs
  5. Lotus Panda Apt IOCs
APT F.A.C.C.T. RedCurl
Добавить комментарий