Lazarus APT IOCs - Part 17

security IOC
Опубликовано

Недавно Cisco Talos обнаружила новую кампанию Lazarus Group, которую мы назвали "Operation Blacksmith". В ней задействованы как минимум три новых семейства вредоносных программ на базе DLang, два из которых представляют собой трояны удаленного доступа (RAT), причем один из них использует ботов и каналы Telegram в качестве средства командно-контрольной связи (C2).

  • Cisco Talos обозначают эту Telegram-троянскую РАТ как "NineRAT", а РАТ, не основанную на Telegram, - как "DLRAT". Загрузчик на базе DLang мы обозначаем как "BottomLoader".
  • Последние находки свидетельствуют об окончательном изменении тактики северокорейской APT-группы Lazarus Group. За последние полтора года Talos обнаружила три различных трояна удаленного доступа (RAT), созданных с использованием необычных технологий, таких как QtFramework, PowerBasic и, теперь, DLang.
  • Talos заметила совпадение наших находок в этой кампании, проводимой Lazarus, включая тактику, методы и процедуры (TTPs), соответствующие северокорейской государственной группе Onyx Sleet (PLUTIONIUM), также известной как APT-группа Andariel. Andariel широко рассматривается как подгруппа APT под зонтиком Lazarus.
  • Эта кампания заключается в постоянных оппортунистических атаках на предприятия по всему миру, которые публично размещают и подвергают свою уязвимую инфраструктуру эксплуатации уязвимостей n-day, таких как CVE-2021-44228 (Log4j).
  • По наблюдениям Cisco Talos, Lazarus атакует производственные, сельскохозяйственные и охранные компании.

Indicators of Compromise

IPv4

  • 155.94.208.209
  • 162.19.71.175
  • 185.29.8.53
  • 201.77.179.66
  • 27.102.113.93

Domains

  • tech.micrsofts.com
  • tech.micrsofts.tech

URLs

  • http://162.19.71.175:7443/sonic/bottom.gif
  • http://201.77.179.66:8082/img/images/header/7AEBC320998FD5E5.gif
  • http://201.77.179.66:8082/img/images/header/B691646991EBAEEC.gif
  • http://201.77.179.66:8082/img/lndex.php
  • http://27.102.113.93/inet.txt

SHA256

  • 000752074544950ae9020a35ccd77de277f1cd5026b4b9559279dc3b86965eee
  • 0e416e3cc1673d8fc3e7b2469e491c005152b9328515ea9bbd7cf96f1d23a99f
  • 47e017b40d418374c0889e4d22aa48633b1d41b16b61b1f2897a39112a435d30
  • 534f5612954db99c86baa67ef51a3ad88bc21735bce7bb591afa8a4317c35433
  • 5b02fc3cfb5d74c09cab724b5b54c53a7c07e5766bffe5b1adf782c9e86a8541
  • 82d4a0fef550af4f01a07041c16d851f262d859a3352475c62630e2c16a21def
  • 9a48357c06758217b3a99cdf4ab83263c04bdea98c347dd14b254cab6c81b13a
  • ba8cd92cc059232203bcadee260ddbae273fc4c89b18424974955607476982c4
  • e615ea30dd37644526060689544c1a1d263b6bb77fe3084aa7883669c1fde12f
  • f91188d23b14526676706a5c9ead05c1a91ea0b9d6ac902623bc565e1c200a59
Похожие записи:
  1. ZxxZ RAT IOCs
  2. Transparent Tribe (CrimsonRAT) Malware IOC
  3. Mustang Panda APT IOCs
  4. 3LOSH Сrypter Malware IOCs
  5. ModernLoader RAT IOCs
APT Bottom Cisco Talos CVE-2021-44228 DL HazyLoad Loader Nine Rat
Добавить комментарий