Lazarus APT IOCs - Part 16

security IOC
Опубликовано

В начале этого года один из производителей программного обеспечения был скомпрометирован вредоносной программой Lazarus, распространяемой через непропатченное легитимное программное обеспечение. Примечательно, что эти уязвимости не были новыми, и, несмотря на предупреждения и исправления со стороны производителя, многие его системы продолжали использовать несовершенное программное обеспечение, что позволило угрожающему агенту использовать их в своих целях.

В ходе дальнейшего расследования Kaspersky Lab обнаружили, что поставщик программного обеспечения, разработавший эксплуатируемое ПО, ранее уже неоднократно становился жертвой Lazarus. Повторяющиеся нарушения указывали на наличие настойчивого и решительного агента, целью которого, скорее всего, было похищение ценного исходного кода или вмешательство в цепочку поставок ПО, и он продолжал использовать уязвимости в программном обеспечении этой компании, одновременно атакуя других производителей ПО.

Lazarus продемонстрировал высокий уровень сложности, используя передовые методы уклонения и внедряя вредоносное ПО SIGNBT для контроля над жертвой. Кроме того, в памяти были обнаружены другие вредоносные программы, в том числе известный LPEClient компании Lazarus, предназначенный для профилирования жертв и доставки полезной нагрузки, который ранее был замечен в атаках на оборонных подрядчиков и криптовалютную индустрию.

  • Компания-производитель программного обеспечения была скомпрометирована в результате эксплуатации другого известного ПО.
  • Вредоносная программа SIGNBT, использовавшаяся в этой атаке, применяла разнообразные цепочки заражения и сложные технологии.
  • LPEClient, использованный в этой атаке, был замечен при выполнении ряда целевых атак, связанных с группой Lazarus.

Indicators of Compromise

URLs

  • http://ictm.or.kr/UPLOAD_file/board/free/edit/index.php
  • http://samwoosystem.co.kr/board/list/write.asp
  • http://theorigin.co.kr:443/admin/management/index.php
  • http://ucware.net/skins/PHPMailer-master/index.php
  • http://www.friendmc.com/upload/board/asp20062107.asp
  • http://www.hankooktop.com/ko/company/info.asp
  • http://www.khmcpharm.com/Lib/Modules/HtmlEditor/Util/read.cer
  • http://www.vietjetairkorea.com/INFO/info.asp
  • http://yoohannet.kr/min/tmp/process/proc.php
  • https://admin.esangedu.kr/XPaySample/submit.php
  • https://api.shw.kr/login_admin/member/login_fail.php
  • https://hicar.kalo.kr/data/rental/Coupon/include/inc.asp
  • https://hspje.com:80/menu6/teacher_qna.asp
  • https://kscmfs.or.kr/member/handle/log_proc.php
  • https://kstr.radiology.or.kr/upload/schedule/29431_1687715624.inc
  • https://little-pet.com/web/board/skin/default/read.php
  • https://mainbiz.or.kr/include/common.asp
  • https://mainbiz.or.kr/SmartEditor2/photo_uploader/popup/edit.asp
  • https://new-q-cells.com/upload/newsletter/cn/frame.php
  • https://pediatrics.or.kr/PubReader/build_css.php
  • https://pms.nninc.co.kr/app/content/board/inc_list.asp
  • https://safemotors.co.kr/daumeditor/pages/template/template.asp
  • https://swt-keystonevalve.com/data/editor/index.php
  • https://vnfmal2022.com/niabbs5/upload/gongji/index.php
  • https://warevalley.com/en/common/include/page_tab.asp
  • https://www.blastedlevels.com/levels4SqR8/measure.asp
  • https://www.droof.kr/Board/htmlEdit/PopupWin/Editor.asp
  • https://www.friendmc.com:80/upload/board/asp20062107.asp
  • https://www.hanlasangjo.com/editor/pages/page.asp
  • https://www.happinesscc.com/mobile/include/func.asp
  • https://www.healthpro.or.kr/upload/naver_editor/subview/view.inc
  • https://www.medric.or.kr/Controls/Board/certificate.cer
  • https://www.muijae.com/daumeditor/pages/template/simple.asp
  • https://www.muijae.com/daumeditor/pages/template/template.asp
  • https://www.nonstopexpress.com/community/include/index.asp
  • https://www.seoulanesthesia.or.kr/mail/mail_211230.html
  • https://www.seouldementia.or.kr/_manage/inc/bbs/jiyeuk1_ok.asp
  • https://www.siriuskorea.co.kr/mall/community/bbs_read.asp
  • https://yoohannet.kr/min/tmp/process/proc.php

MD5

  • 31af3e7fff79bc48a99b8679ea74b589
  • 3a77b5054c36e6812f07366fb70b007d
  • 54df2984e833ba2854de670cce43b823
  • 88a96f8730b35c7406d57f23bbba734d
  • 9b62352851c9f82157d1d7fcafeb49d3
  • 9cd90dff2d9d56654dbecdcd409e1ef3
  • Ae00b0f490b122ebab614d98bb2361f7
  • e6fa116ef2705ecf9677021e5e2f691e
  • E89fa6345d06da32f9c8786b65111928
Похожие записи:
  1. Lazarus APT IOCs
  2. Lazarus APT IOCs - Part 2
  3. DeftTorero APT IOCs
  4. Lazarus APT IOCs - Part 3
  5. DiceyF APT IOCs
APT Kaspersky Lab Lazarus LPEClient SIGNBT
Добавить комментарий