Andariel APT IOCs

security IOC

Известно, что группа угроз Andariel, которая обычно атакует корейские корпорации и организации, связана с группой угроз Lazarus или одной из ее дочерних компаний. Атаки на корейские объекты выявляются с 2008 года. Основными объектами атак являются отрасли, связанные с национальной безопасностью, такие как национальная оборона, политические организации, судостроение, энергетика и связь. Объектами атак становятся также различные другие компании и институты Кореи, включая университеты, логистические и ИКТ-компании.

На этапе первоначальной компрометации угрожающая группа Andariel обычно использует фишинговые атаки (spear phishing), атаки через "водопой" (watering hole) и атаки на цепочки поставок. Кроме того, известны случаи, когда группа злоупотребляет решениями централизованного управления в процессе установки вредоносного ПО. [2] Примечательным фактом является создание и использование в атаках различных типов вредоносных программ. Среди них много типов бэкдоров, в том числе Andarat, Andaratm, Phandoor, Rifdoor, использовавшиеся в прошлых атаках, а также TigerRAT и MagicRAT, которые были обнаружены в течение последних нескольких лет.

Одной из особенностей атак, выявленных в 2023 году, является наличие множества штаммов вредоносного ПО, разработанных на языке Go. В случае атаки с использованием Innorix Agent использовался Reverse Shell, разработанный на языке Go. Впоследствии Black RAT использовался в атаках, направленных на корейские компании. Подобные тенденции сохранились и в последних случаях, когда в атаках используются другие штаммы вредоносных программ, разработанные на языке Go, такие как Goat RAT и DurianBeacon. Помимо версии на языке Go, DurianBeacon имеет также версию, разработанную на языке Rust.

Первоначальный вариант распространения выявить не удалось.

Indicators of Compromise

IPv4 Port Combinations

  • 109.248.150.179:443
  • 13.76.133.68:10443
  • 13.76.133.68:8080
  • 139.177.190.243:443
  • 217.195.153.233:443
  • 27.102.107.224:5443
  • 27.102.107.224:8443
  • 27.102.107.234:8443
  • 27.102.113.88:21
  • 27.102.113.88:5443
  • 27.102.129.196:8088
  • 4.246.144.112:443
  • 4.246.149.227:8080
  • 46.183.223.21:8080
  • 8.213.128.76:1012

Domain Port Combinations

  • bbs.topigsnorsvin.com.ec:8080
  • chinesekungfu.org:443
  • privatemake.bounceme.net:443

URls

  • http://139.177.190.243/update.exe
  • http://27.102.107.224/update.exe
  • http://27.102.107.230/mstcs.exe
  • http://27.102.107.230/update.exe
  • http://27.102.107.233/client.exe
  • http://27.102.107.233/update.exe
  • http://27.102.107.234/update.exe
  • http://27.102.107.235/mstcs.exe
  • http://27.102.113.88/client.exe
  • http://27.102.113.88/update.exe
  • http://4.246.144.112/update.exe
  • http://www.ipservice.kro.kr/creditsvc.exe
  • http://www.ipservice.kro.kr/dataSeq.exe

MD5

  • 0211a3160cc5871cbcd4e5514449162b
  • 0a09b7f2317b3d5f057180be6b6d0755
  • 1ffccc23fef2964e9b1747098c19d956
  • 426bb55531e8e3055c942a1a035e46b9
  • 5291aed100cc48415636c4875592f70c
  • 5a3f3f75048b9cec177838fb8b40b945
  • 6ab4eb4c23c9e419fbba85884ea141f4
  • 6de6c27ca8f4e00f0b3e8ff5185a59d1
  • 79e474e056b4798e0a3e7c60dd67fd28
  • 8434cdd34425916be234b19f933ad7ea
  • 88a7c84ac7f7ed310b5ee791ec8bd6c5
  • 9112efb49cae021abebd3e9a564e6ca4
  • 95c276215dcc1bd7606c0cb2be06bf70
  • 9d7bd0caed10cc002670faff7ca130f5
  • ac0ada011f1544aa3a1cf27a26f2e288
  • bbaee4fe73ccff1097d635422fdc0483
  • bcac28919fa33704a01d7a9e5e3ddf3f
  • bda0686d02a8b7685adf937cbcd35f46
  • c61a8c4f6f6870c7ca0013e084b893d2
  • c892c60817e6399f939987bd2bf5dee0
  • cfae52529468034dbbb40c9a985fa504
  • deae4be61c90ad6d499f5bdac5dad242
  • e5410abaaac69c88db84ab3d0e9485ac
  • eb35b75369805e7a6371577b1d2c4531
  • f4795f7aec4389c8323f7f40b50ae46f
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий