Scarred Manticore APT IOCs

security IOC
Опубликовано

Check Point Research (CPR) отслеживает кампанию шпионажа в Иране, проводимую Scarred Manticore, связанной с Министерством разведки и безопасности (MOIS). В основе атак лежит LIONTAIL - усовершенствованная система пассивного вредоносного ПО, устанавливаемая на серверы Windows. В целях скрытности импланты LIONTIAL используют прямые обращения к драйверу HTTP-стека Windows HTTP.sys для загрузки полезной нагрузки, находящейся в памяти.


Пик текущей кампании пришелся на середину 2023 года, и как минимум год она оставалась незамеченной. Кампания направлена на высокопоставленные организации Ближнего Востока с акцентом на правительственный, военный и телекоммуникационный сектора, а также на поставщиков ИТ-услуг, финансовые организации и НКО. Scarred Manticore уже не первый год преследует важные цели, используя для атак на серверы Windows различные бэкдоры на базе IIS. К ним относятся различные пользовательские веб-оболочки, бэкдоры пользовательских DLL и импланты на базе драйверов. Хотя основным мотивом деятельности Scarred Manticore является шпионаж, некоторые из описанных инструментов были связаны с разрушительной атакой на государственную инфраструктуру Албании (DEV-0861), спонсируемой MOIS.

Indicators of Compromise

SHA256

  • 1146b1f38e420936b7c5f6b22212f3aa93515f3738c861f499ed1047865549cb
  • 1485c0ed3e875cbdfc6786a5bd26d18ea9d31727deb8df290a1c00c780419a4e
  • 2097320e71990865f04b9484858d279875cf5c66a5f6d12c819a34e2385da838
  • 3875ed58c0d42e05c83843b32ed33d6ba5e94e18ffe8fb1bf34fd7dedf3f82a7
  • 4f6351b8fb3f49ff0061ee6f338cd1af88893ed20e71e211e8adb6b90e50a3b8
  • 67560e05383e38b2fcc30df84f0792ad095d5594838087076b214d849cde9542
  • 6f0a38c9eb9171cd323b0f599b74ee571620bc3f34aa07435e7c5822663de605
  • 7495c1ea421063845eb8f4599a1c17c105f700ca0671ca874c5aa5aef3764c1c
  • 8578bff36e3b02cc71495b647db88c67c3c5ca710b5a2bd539148550595d0330
  • 9117bd328e37be121fb497596a2d0619a0eaca44752a1854523b8af46a5b0ceb
  • a2598161e1efff623de6128ad8aafba9da0300b6f86e8c951e616bd19f0a572b
  • b71aa5f27611a2089a5bbe34fd1aafb45bd71824b4f8c2465cf4754db746aa79
  • c5b4542d61af74cf7454d7f1c8d96218d709de38f94ccfa7c16b15f726dc08c0
  • da450c639c9a50377233c0f195c3f6162beb253f320ed57d5c9bb9c7f0e83999
  • daa362f070ba121b9a2fa3567abc345edcde33c54cabefa71dd2faad78c10c33
  • e1ad173e49eee1194f2a55afa681cef7c3b8f6c26572f474dec7a42e9f0cdc9d
  • f4639c63fb01875946a4272c3515f005d558823311d0ee4c34896c2b66122596
  • f6c316e2385f2694d47e936b0ac4bc9b55e279d530dd5e805f0d963cb47c3c0d
Похожие записи:
  1. Twisted Panda APT IOCs
  2. DangerousSavanna APT IOCs
  3. Scarlet Mimic APT IOCs
  4. Horse Shell Implant IOCs
  5. Camaro Dragon APT IOCs
APT Check Point Research Hazel Sandstorm LIONTIAL Scarred Manticore
Добавить комментарий