Lazarus APT IOCs - Part 13

security IOC
Опубликовано

В новой кампании Lazarus Group северокорейская группировка продолжает использовать ту же инфраструктуру, несмотря на то, что эти компоненты были хорошо задокументированы исследователями безопасности на протяжении многих лет. Постоянное использование одних и тех же тактик, приемов и процедур (TTP), многие из которых известны широкой публике, свидетельствует об уверенности группы в своих операциях и открывает возможности для исследователей безопасности.

  • В своей последней кампании Lazarus Group северокорейский государственный агент использует CVE-2022-47966, уязвимость ManageEngine ServiceDesk, для развертывания множества угроз. Помимо вредоносной программы "QuiteRAT", Cisco Talos также обнаружила новую угрозу под названием "CollectionRAT".
  • CollectionRAT обладает стандартными возможностями трояна удаленного доступа (RAT), в том числе способностью выполнять произвольные команды на зараженной системе. По результатам нашего анализа, CollectionRAT, по-видимому, связан с Jupiter/EarlyRAT - еще одним семейством вредоносных программ, о котором недавно писал Касперский и которое приписывается Andariel, подгруппе, входящей в состав Lazarus Group.
  • Похоже, что Lazarus Group меняет свою тактику, все больше полагаясь на инструменты и фреймворки с открытым исходным кодом на этапе первоначального доступа к атакам, в отличие от их строгого использования на этапе после компрометации.
  • Одним из примеров такой тенденции является использование Lazarus Group фреймворка DeimosC2 с открытым кодом. Агент DeimosC2, обнаруженный Cisco Talos в этой кампании, представляет собой двоичный файл ELF, что свидетельствует о намерении Lazarus развернуть этот имплант на этапе первоначального доступа к скомпрометированным конечным точкам Linux.

Indicators of Compromise

IPv4

  • 109.248.150.13
  • 146.4.21.94

IPv4 Port Combinations

  • 108.61.186.55:443

URLs

  • http://109.248.150.13/EsaFin.exe
  • http://146.4.21.94/boards/boardindex.php
  • http://146.4.21.94/editor/common/cmod
  • http://146.4.21.94/tmp/tmp/comp.dat
  • http://146.4.21.94/tmp/tmp/log.php
  • http://146.4.21.94/tmp/tmp/logs.php
  • http://ec2-15-207-207-64.ap-south-1.compute.amazonaws.com/resource/main/rawmail.php

SHA256

  • 05e9fe8e9e693cb073ba82096c291145c953ca3a3f8b3974f9c66d15c1a3a11d
  • 773760fd71d52457ba53a314f15dddb1a74e8b2f5a90e5e150dea48a21aa76df
  • db6a9934570fa98a93a979e7e0e218e0c9710e5a787b18c6948f2eedd9338984
  • e3027062e602c5d1812c039739e2f93fc78341a67b77692567a4690935123abe
  • ed8ec7a8dd089019cfd29143f008fa0951c56a35d73b2e1b274315152d0c0ee6
Похожие записи:
  1. Mustang Panda APT IOCs
  2. Lazarus APT IOCs
  3. ZxxZ RAT IOCs
  4. Lazarus APT IOCs - Part 2
  5. Gamaredon APT IOCs - Part 2
APT Cisco Talos CollectionRAT CVE-2022-47966 DeimosC2 Lazarus QuiteRAT
Добавить комментарий