Команда Trend Micro MDR провела расследование и успешно раскрыла наборы для вторжения, использованные Earth Kapre в одном из недавних инцидентов. Шпионская группа Earth Kapre (также известная как RedCurl и Red Wolf) активно проводит фишинговые кампании, направленные на организации в России, Германии, Украине, Великобритании, Словении, Канаде, Австралии и США. Он использует фишинговые письма, содержащие вредоносные вложения (.iso и .img), которые при открытии приводят к успешному заражению. Это приводит к созданию запланированного задания для сохранения, а также к несанкционированному сбору и передаче конфиденциальных данных на командно-контрольные (C&C) серверы.
Indicators of Compromise
IPv4
- 198.252.101.86
- 23.254.224.79
URLs
- http://preston.melaniebest.com/ms/7za.tmp
- http://preston.melaniebest.com/ms/curl.tmp
- http://preston.melaniebest.com/ms/ms.tmp
- http://preston.melaniebest.com/ms/msa.tmp
- http://unipreg.tumsun.com:80/ms/7za.tmp
- http://unipreg.tumsun.com:80/ms/psa.tmp
- https://preslive.cn.alphastoned.pro/ms/7
- https://preslive.cn.alphastoned.pro/ms/curl.tmp
- https://preslive.cn.alphastoned.pro/ms/msa.tmp
- https://preslive.cn.alphastoned.pro:443/ms/curl.tmp
SHA1
- 1cf5d081dcc474eefb710ce11f67ab2a9d5f829a
- 2003d2de9c155799fea82663245add57d59813aa
- 240e037af8964388d8ca92385528bece5e0c6546
- 28ef33b00c9c347f35405ff0b35c499acd71573e
- 5f0fea19115fea2596a6db636736ff96510b79fb
- 67dae474eb9eb8c2f7b8d315d84ca9b5de31d5da
- 732aa4679a372696b67c0666cd8c0279049d7a92
- 819c480f31650773a8e3de3ffb8f89a8ce062368
- 8a8f1dcdc301036fae02269da2d26f321886444b
- 8e5bacc6773843bac2f52c63bd0f6e4a868eb4da
- ae5496ce5295a11957d7bb19c903c8128d0e73c1
- df4099baa679fca159a301fb1b9aaa9d4ef4648c
- f3cfbf02099830ce9492d231b4a00dbcb46facd4
