Недавно компания JumpCloud, предоставляющая услуги облачного управления ИТ, опубликовала подробности расследования вторжения в свою сеть.
Проанализировав недавно опубликованные индикаторы компрометации, специалисты SentinelOne сочли, что этот кластер угроз относится к APT, спонсируемой северокорейским государством. Индикаторы компрометации связаны с широким спектром действий, которые мы приписываем КНДР, но в целом они ориентированы на цепочки поставок, что наблюдалось в предыдущих кампаниях.
Indicators of Compromise
IPv4
- 100.21.104.112
- 104.223.86.8
- 116.202.251.38
- 144.217.92.197
- 162.19.3.23
- 162.241.248.14
- 167.114.188.40
- 179.43.151.196
- 185.152.67.39
- 192.185.5.189
- 23.29.115.171
- 23.95.182.5
- 45.82.250.186
- 51.254.24.19
- 66.187.75.186
- 70.39.103.3
- 78.141.223.50
- 89.44.9.202
- 91.234.199.179
Domains
- alwaysckain.com
- canolagroove.com
- centos-pkg.org
- centos-repos.org
- datadog-cloud.com
- datadog-graph.com
- launchruse.com
- nomadpkg.com
- nomadpkgs.com
- primerosauxiliosperu.com
- reggedrobin.com
- toyourownbeat.com
- zscaler-api.org
MD5
- 3a9c24c92c221658a8bf9ce61d758e1a
- b8724109e5473b4ca79a13c33b865e32
SHA1
- 92480e506d51d920fcc1d4dba7206c3185317f61
- cb0e71340f963f7f2f404a0431d82ac809d2b15d
SHA256
- 4dc71b659c9277c7bb704392f8af5b6b2fbc9a66d3ad80d8cb4df0bd686f0e86
- 9151ff77b65eeacd5cdddd13c041db3ad9818fd2aebe05d8745227fac7e516b8