King TUT Operation IOCs

security IOC
Опубликовано

Исследователи ESET отмечают растущую изощренность угроз, воздействующих на регион LATAM и использующих методы уклонения и высокоценные цели.

King TUT Operation

Инициатива ESET, получившая название Operation King TUT (The Universe of Threats), была направлена на изучение этого значительного ландшафта угроз. 5 октября ESET представили результаты сравнительного анализа на конференции Virus Bulletin 2023.

В ходе анализа ESET рассмотрели различные публично задокументированные кампании, направленные на регион LATAM в период с 2019 по 2023 год. Все эти киберпреступные действия обнаружены исключительно в Латинской Америке и не связаны с глобальными преступными программами. Поскольку каждая из этих операций имеет свои уникальные черты и не связана с каким-либо известным угрожающим субъектом, весьма вероятно, что в игре участвуют несколько субъектов.

Проведенное ESET исследование выявило заметный переход от упрощенного, оппортунистического криминального ПО к более сложным угрозам. ESET наблюдали изменение целевой направленности: от ориентации на широкие слои населения к высокопоставленным пользователям, включая предприятия и государственные структуры. Эти угрозы постоянно обновляют свой инструментарий, внедряя различные методы обхода для повышения успешности своих кампаний. Кроме того, они распространили свой криминальный бизнес за пределы Латинской Америки, что отражает картину, наблюдаемую в банковских троянах, рожденных в Бразилии.

Проведенное ESET сравнение также показало, что большинство вредоносных кампаний в регионе направлено на корпоративных пользователей, в том числе и на государственные структуры, и использует преимущественно копьеметалки для рассылки потенциальным жертвам, часто маскируясь под известные организации в конкретных странах региона, в частности под государственные или налоговые структуры.

Точность и специфичность этих атак свидетельствуют о высоком уровне целенаправленности, что указывает на наличие у злоумышленников подробной информации о предполагаемых жертвах. В этих кампаниях злоумышленники используют такие вредоносные компоненты, как загрузчики и дропперы, в основном созданные в PowerShell и VBS.

Что касается инструментов, используемых в этих вредоносных операциях в Латинской Америке, то, по наблюдениям ESET, предпочтение отдается RAT, особенно семействам njRAT и AsyncRAT. Кроме того, в кампаниях, направленных в основном на государственные структуры, ESET обнаружили использование других семейств вредоносных программ, таких как Bandook и Remcos, хотя и в меньшей степени.

Основываясь на выводах, сделанных в результате проведенного сравнения, ESET полагают, что за распространением подобных кампаний стоит не одна группа, а несколько, и эти группы активно ищут различные приемы и способы, чтобы их кампании были как можно более успешными. Кроме того, ESET предполагают, что социально-экономическое неравенство, распространенное в Латинской Америке, может влиять на методы действий злоумышленников в этом регионе.

Indicators of Compromise

IPv4

  • 103.75.191.120
  • 152.169.70.42
  • 177.255.91.167
  • 179.13.5.158
  • 181.140.202.66
  • 181.58.154.33
  • 181.58.155.117
  • 186.112.198.62
  • 186.145.214.167
  • 186.145.214.199
  • 186.146.240.244
  • 186.147.55.19
  • 186.153.208.136
  • 186.169.37.205
  • 186.169.43.60
  • 190.138.41.31
  • 190.28.131.156
  • 190.28.202.144
  • 194.36.190.73
  • 194.5.250.103
  • 201.212.123.212
  • 45.142.213.108
  • 45.142.214.31
  • 46.246.4.12
  • 46.246.84.23

Domains

  • 2022env.duckdns.org
  • administradorduck.duckdns.org
  • agosto20192019.duckdns.org
  • agrariobuenasuerte.duckdns.org
  • apartachord2.con-ip.com
  • avastsecure32.publicvm.com
  • bmxfghsh.duckdns.org
  • briserodeenero202020.duckdns.org
  • buenaventura.duckdns.org
  • d1.ngobmc.com
  • d2.ngobmc.com
  • defenderav.con-ip.com
  • env2022.duckdns.org
  • jamaica123.ddns.net
  • ladvsa.club
  • luio.ddns.net
  • marzo1.duckdns.org
  • mrxud.ddns.net
  • newsr.duckdns.org
  • pedrobedoya2021.duckdns.org
  • pepito1337.hopto.org
  • pronews.icu
  • r2.panjo.club
  • scitie.ddns.net
  • verdehithoy.duckdns.org
  • verdepruebauno.duckdns.org
  • viernes9.duckdns.org
  • windowspowershell.duckdns.org
  • wins24feb.duckdns.org
  • winup.publicvm.com
  • yursos.duckdns.org

SHA1

  • 0cb9641a9bf076dbd3ba38369c1c16fcdb104fc2
  • 0cbd9801b38b7cb1fefa5eeb2d953abf8d22db41
  • 124abf42098e644d172d9ea69b05af8ec45d6e49
  • 1652619b5095eea2afec3a03b920bf63230c8c8a
  • 1eca09dc9001a0b6d146c01f5b549dd96a0bfe5d
  • 229bfed1d0f656125f883ec8d44d9eb85dda1517
  • 2376e9f05348937aa2972c93f7e3af4a8def9a68
  • 268909faac8d1666d0287583ba3cfc40f034237a
  • 2f3fe7ab8a6157f2492f9b94ac85104623f12f6c
  • 356abaae92952bebef177b446baf61cde4c0a334
  • 35df300d1acdc93e9780fd71e3a08a590ba2f934
  • 398c99fd804043863959cc34c68b0305b1131388
  • 486e1dd5df7f1efb4f00139f44ad03de91931965
  • 4a339c2e82de11d4d4fd6540b207e356650f8897
  • 5119c2253019970abd914b0c571f793f1a9466bd
  • 5284d51d8af3023fe7fbca6d28126ef05465884d
  • 55eec354b5f1e58a8a59a7be1cd287ec2c2ca02e
  • 6358b2bf1dc6e8aff646ad6ab919be865fa19870
  • 63dcbe2db9cc14564eb84d5e953f2f9f5c54acd9
  • 64efa2ce952f1616f185daa26ff84c6d99cf50c1
  • 686eef924e6b7aadb5bcff1045b25163501670e6
  • 6cf9f0c950a3eebc173fb4be51fca9787202e8a4
  • 709bd2951e521c851cf98430010948b16dbe20eb
  • 7995e66356da3238fc4d4d7843a6c724b7039aaf
  • 7de9d09d2529f9ed8eb42a6779af4b9fa657e2c0
  • 82f3960589526cb80a21b62073d8743df1a97d34
  • 86a0376de9b9ee12f86ed24091bc151ebae7d147
  • 89f1e932cc37e4515433696e3963bb3163cc4927
  • 8d2b48d37b2b56c5045bcee20904bce991f99272
  • 90c4fe7eb949c44607d29680b6b8a47bf294e02e
  • 90da8cbcc82629ca28062eb473206480cfbc52ef
  • 9333a67ef082c0005b82a9b1c9e002a167173197
  • 9754596e9e8b0a6e053a4988cf85099c2617a98b
  • a06665748df3d4def63a4dcbd50917c087f57a27
  • a187d8be61b7ad6c328f3ee9ac66f3d2f4b48c6b
  • a4c8133a8e646d832de8740016416cdb2bd30234
  • a4e02e1c136641a37a1bee0a23e1732b17326996
  • af0530b9f70e62ab47bb696aef6f79ac28e6411d
  • af1f08a0d2e0d40e99fcaba6c1c090b093ac0756
  • b5ed4d1cb148709e77d88b917ffdd858153c14ca
  • bff251ce126cca54613ba50e1b4815424b186518
  • cad0695c649bfa4bc52f70a83fea48cc427c6f57
  • cb6eb3c4462b2ecf9c217f652802b3ba2a939850
  • cec4cb73e3f7e2e33d8657648374435ebf808f50
  • cf6bee622efb09720c9ba38d7661e7e35fff7f07
  • d32e7178127ce9b217e1335d23fac3963ea73626
  • d86960dd7b093dd0f3ef1dc3bc956d57217bd4ec
  • e04a994ad1cdab5a909d5c025d28a8bdd764aad0
  • e907d930776afa5df317840ce68e456d68c77186
  • f0e598dfc618568a2bb258ec39e84fd4c6da9c46
  • f384bdd63d3541c45fad9d82ef7f36f6c380d4dd
  • f452c85adba79ce68d5955fb179b792235b47d3e
  • fb4ab5f9ceedf6f2ad3eec28f9e3d44a56914d3f

Technical report

Похожие записи:
  1. dotRunpeX Injector IOCs
  2. Remcos и AsyncRAT IOCs
  3. Remcos RAT IOCs - Part 9
  4. GhostWriter APT IOCs - Part 3
  5. AsyncRAT Malware IOCs - Part 7
AsyncRAT Bandook ESET njRAT Remcos
Добавить комментарий