Lazarus APT IOCs - Part 14

security IOC
Опубликовано

При анализе атаки Lazarus, выманивающей сотрудников аэрокосмической компании, исследователи ESET обнаружили публично недокументированный бэкдор.

  • Сотрудники целевой компании связывались с фальшивым рекрутером через LinkedIn и обманным путем открывали вредоносный исполняемый файл, выдававший себя за задание или викторину по кодингу.
  • ESET выявили четыре различные цепочки выполнения, которые передают три типа полезной нагрузки через побочную загрузку DLL.
  • Наиболее заметной полезной нагрузкой является бэкдор LightlessCan, реализующий технологии, препятствующие обнаружению программным обеспечением мониторинга безопасности в реальном времени и анализу специалистами по кибербезопасности, что существенно отличается от его предшественника BlindingCan, флагманского HTTP(S) Lazarus RAT.
  • Мы с высокой степенью уверенности связываем эту активность с компанией Lazarus, в частности с ее кампаниями, связанными с операцией DreamJob.
    Конечной целью атаки был кибершпионаж.

Indicators of Compromise

IPv4

  • 118.98.221.14
  • 160.153.33.195
  • 175.207.13.231
  • 178.251.26.65
  • 185.51.65.233
  • 199.188.206.75
  • 46.105.57.169
  • 50.192.28.29
  • 67.225.140.4
  • 78.11.12.13
  • 89.187.86.214

Domains

  • barsaji.com.mx
  • bug.restoroad.com
  • hurricanepub.com
  • kapata-arkeologi.kemdikbud.go.id
  • kerstpakketten.horesca-meppel.nl
  • kittimasszazs.hu
  • mantis.quick.net.pl
  • nrfm.lk
  • turnscor.com
  • www.keewoom.co.kr
  • www.radiographers.org

URLs

  • http://barsaji.com.mx/src/recaptcha/index.php
  • http://bug.restoroad.com/admin/view_status.php
  • http://mantis.quick.net.pl/library/securimage/index.php
  • http://www.keewoom.co.kr/prod_img/201409/prod.php
  • https://hurricanepub.com/include/include.php
  • https://kapata-arkeologi.kemdikbud.go.id/pages/payment/payment.php
  • https://kerstpakketten.horesca-meppel.nl/wp-content/plugins/woocommerce/lib.php
  • https://kittimasszazs.hu/images/virag.php
  • https://nrfm.lk/wp-includes/SimplePie/content.php
  • https://turnscor.com/wp-includes/contacts.php
  • https://www.radiographers.org/aboutus/aboutus.php

SHA1

  • 0f33ece7c32074520fbea46314d7d5ab9265ec52
  • 10bd3e6ba6a48d3f2e056c4f974d90549aed1b96
  • 247c5f59cffbaf099203f5ba3680f82a95c51e6e
  • 3007dda05ca8c7de85cd169f3773d43b1a009318
  • 38736ca46d7fc9b9e5c74d192eec26f951e45752
  • 8cb37fa97e936f45fa8ecd7eb5cfb68545810a22
  • c136dd71f45eaef3206bf5c03412195227d15f38
  • c273b244ea7dff20b1d6b1c7fd97f343201984b3
  • c7c6027abdced3093288ab75fab907c598e0237d
  • c830b895fb934291507e490280164cc4234929f0
  • e18b9743ec203ab49d3b57fed6df5a99061f80e0
  • e61672b23dbd03fe3b97ee469fa0895ed1f9185d
  • ebd3ef268c71a0ed11ae103aa745f1d8a63ddf13
Похожие записи:
  1. Lazarus APT IOCs - Part 3
  2. Lazarus APT IOCs - Part 7
  3. Lazarus APT IOCs
  4. Lazarus APT IOCs - Part 2
  5. Bahamut APT IOCs
APT ESET Lazarus LightlessCan
Добавить комментарий