Grayling APT IOCs

security IOC
Опубликовано

Неизвестная ранее группа постоянных угроз (APT), используя собственные вредоносные программы и многочисленные общедоступные инструменты, атаковала ряд организаций в производственном, ИТ и биомедицинском секторах на Тайване. По всей видимости, в рамках этой кампании пострадали также правительственное агентство, расположенное на островах Тихого океана, а также организации во Вьетнаме и США. Эта активность началась в феврале 2023 года и продолжалась как минимум до мая 2023 года.


Команда Symantec Threat Hunter, входящая в состав Broadcom, приписывает эту активность новой группе, которую мы называем Grayling. Эта активность выделяется тем, что Grayling использует характерную технику боковой загрузки DLL, которая использует пользовательский дешифратор для развертывания полезной нагрузки. Мотивацией этой деятельности, по-видимому, является сбор разведданных.

Indicators of Compromise

Domains

  • d3ktcnc1w6pd1f.cloudfront.net

URLs

  • http://45.148.120.23:91/version.dll
  • http://45.148.120.23:91/vmtools.exe

SHA256

  • 1b72410e8e6ef0eb3e0f950ec4ced1be0ee6ac0a9349c8280cd8d12cc00850f9
  • 1ed1b6a06abbab98471d5af33e242acc76d17b41c6e96cce0938a05703b58b91
  • 1f15c3ae1ce442a67e3d01ed291604bfc1cb196454b717e4fb5ac52daa37ecce
  • 23e5dfaf60c380837beaddaaa9eb550809cd995f2cda99e3fe4ca8b281d770ae
  • 245016ace30eda7650f6bb3b2405761a6a5ff1f44b94159792a6eb64ced023aa
  • 30130ea1ab762c155289a32db810168f59c3d37b69bcbedfd284c4a861d749d6
  • 3acfe90afa3cbb974e219a5ab8a9ee8c933b397d1c1c97d6e12015726b109f1b
  • 4c44efc7d9f4cd71c43c6596c62b91740eb84b7eb9b8cf22c7034b75b5f432d9
  • 4fbe8b69f5c001d00bd39e4fdb3058c96ed796326d6e5e582610d67252d11aba
  • 525417bdd5cdd568605fdbd3dc153bcc20a4715635c02f4965a458c5d008eba9
  • 5ed10f2564cd60d02666637e9eac36db36f3a13906b851ec1207c7df620d8970
  • 5ef2e36a53c681f6c64cfea16c2ca156cf468579cc96f6c527eca8024bfdc581
  • 667624b10108137a889f0df8f408395ae332cc8d9ad550632a3501f6debc4f2c
  • 6725e38cbb15698e957d50b8bc67bd66ece554bbf6bcb90e72eaf32b1d969e50
  • 6a8c39e4c543e94f6e4901d0facee7793f932cd2351259d8054981cf2b4da814
  • 6e5d840ddeedc3b691e11a286acd7b6c087a91af27c00044dd1d951da5893068
  • 74cbde4d4b4ac4cae943831035bff90814fa54fd21c3a6a6ec16e7e3fb235f87
  • 752018c117e07f5d58eed35622777e971a5f495184df1c25041ff525ca72acea
  • 79b0e6cd366a15848742e26c3396e0b63338ead964710b6572a8582b0530db17
  • 7c1b20de1f170cfaf3e75ebc7e81860378e353c84469795a162cd3cfd7263ba2
  • 7ea706d8da9d68e1214e30c6373713da3585df8a337bc64fcc154fc5363f5f1f
  • 803d0d07d64010b102413da61bbf7b4d378891e2a46848b88ef69ca9357e3721
  • 87a7e428d08ecc97201cc8f229877a6202545e562de231a7b4cab4d9b6bbc0f8
  • 8b6c559cd145dca015f4fa06ef1c9cd2446662a1e62eb51ba2c86f4183231ed2
  • 90de98fa17294d5c918865dfb1a799be80c8771df1dc0ec2be9d1c1b772d9cf0
  • 971ab5d4f0ec58fa1db61622a735a51e14e70ee5d99ab3cd554e0070b248eb1f
  • 9bad71077e322031c0cf7f541d64c3fed6b1dc7c261b0b994b63e56bc3215739
  • a180e67fcaf2254b18eafdc95b83038e9a4385b1a5c2651651d9d288fa0500fe
  • ab09e8cac3f13dea5949e7a2eaf9c9f98d3e78f3db2f140c7d85118b9bc6125f
  • af26d07754c8d4d1cb88195f7dc53e2e4ebee382c5b84fc54a81ba1cee4d0889
  • b19ccfa8bc75ce4cf29eb52d4afe79fe7c3819ac08b68bd87b35225a762112ba
  • ba8a7af30e02bd45e3570de20777ab7c1eec4797919bfcd39dde681eb69b9faf
  • bf1665c949935f3a741cfe44ab2509ec3751b9384b9eda7fb31c12bfbb2a12ec
  • c24b19e7ccd965dfeed553c94b093533e527c55d5adbc9f0e87815d477924be5
  • c2a714831d8a7b0223631eda655ce62ff3c262d910c0a2ed67c5ca92ef4447e3
  • c76ba3eb764706a32013007c147309f0be19efff3e6a172393d72d46631f712e
  • d0e1724360e0ae11364d3ac0eb8518ecf5d859128d094e9241d8e6feb43a9f29
  • d522bf1fb3b869887eaf54f6c0e52d90514d7635b3ff8a7fd2ce9f1d06449e2c
  • da670d5acf3648b0deaecb64710ae2b7fc41fc6ae8ab8343a1415144490a9ae9
  • dcadcac4c57df4e31dd7094ae96657f54b22c87233e8277a2c40ba56eafcf548
  • de500875266fd18c76959839e8c6b075e4408dcbc0b620f7544f28978b852c1c
  • e75f2cee98c4b068a2d9e7e77599998196fd718591d3fa23b8f684133d1715c3
  • f1764f8c6fc428237ffafeb08eb0503558c68c6ccf6f2510a2ef8c574ba347e0
  • f2aaedb17f96958c045f2911655bfe46f3db21a2de9b0d396936ef6e362fea1b
  • f3e8f2ef4ad949a0ada037f52f4c0e6000d111a4ac813e64138f0ded865e6e31
Похожие записи:
  1. Witchetty APT IOCs
  2. Earth Longzhi (APT41) IOCs
  3. Bluebottle group IOCs
  4. Cisco Talos делится информацией о недавней кибератаке на Cisco
  5. Webworm APT IOCs
APT Cobalt Strike CVE-2019-0803 Grayling Mimikatz Symantec
Добавить комментарий