Andariel APT IOCs - Part 3

security IOC
Опубликовано

Отслеживая недавние атаки угрожающей группы Andariel, Центр экстренного реагирования AhnLab Security (ASEC) обнаружил случай атаки, в котором группа, как предполагается, использует уязвимость Apache ActiveMQ для удаленного выполнения кода (CVE-2023-46604) с целью установки вредоносного ПО.

Andariel обычно атакует южнокорейские компании и учреждения, и известно, что она либо сотрудничает с группой Lazarus, либо является дочерней группой Lazarus. Впервые атаки на Южную Корею были выявлены в 2008 году, и их основными целями являются национальная оборона, политические организации, судостроение, энергетика и телекоммуникации. Кроме них, объектами атак стали такие южнокорейские компании и учреждения, как университеты, логистические и ИКТ-компании.

Группа Andariel в прошлом использовала фишинговые атаки (spear phishing), атаки на "водопой" (watering hole) и атаки на цепочки поставок . Недавно были выявлены случаи, когда группа использовала уязвимость Log4Shell, атаковала плохо управляемые серверы MS-SQL или злоупотребляла легитимным программным обеспечением.

На данный момент прямых логов нет, но предполагается, что группа Andariel использует уязвимость удаленного выполнения кода в серверах Apache ActiveMQ для установки бэкдоров NukeSped и TigerRat.

Indicators of Compromise

IPv4 Port Combinations

  • 137.175.17.172:41334
  • 137.175.17.221:48084
  • 176.105.255.60:49407
  • 27.102.114.215:8000

URLs

  • http://137.175.17.172:1443/ac3.jar
  • http://137.175.17.172:1443/agent
  • http://137.175.17.172:1443/agent_w
  • http://137.175.17.221:1443/ac.jar
  • http://137.175.17.221:1443/agent
  • http://137.175.17.221:1443/agent_w
  • http://168.100.9.154:9090/Notification.msi
  • http://176.105.255.60/Xdw0FFtpuYWSLrVcAei5zg
  • https://206.166.251.186/jquery-3.3.1.min.js

MD5

  • 11ec319e9984a71d80df1302fe77332d
  • 160f7d2307bbc0e8a1b6ac03b8715e4f
  • 26ff72b0b85e764400724e442c164046
  • 31cbc75319ea60f45eb114c2faad21f9
  • 478dcb54e0a610a160a079656b9582de
  • 4eead95202e6a0e4936f681fd5579582
  • 7699ba4eab5837a4ad9d5d6bbedffc18
  • beb219abe2ba5e9fd7d51a178ac2caca
  • c2f8c9bb7df688d0a7030a96314bb493
  • c55eb07ef4c07e5ba63f7f0797dfd536
  • dc9d60ce5b3d071942be126ed733bfb8

 

Похожие записи:
  1. Andariel APT IOCs - Part 2
  2. Andariel APT IOCs
  3. Trickbot Group IOCs
  4. Kimsuky APT IOCs - Part 8
  5. Lazarus APT IOCs - Part 2
Andariel APT ASEC CobaltStrike CVE-2023-46604 HelloKitty Meterpreter NukeSped TigerRat
Добавить комментарий