ToddyCat APT IOCs Part 4

security IOC
Опубликовано

APT-группа ToddyCat специализируется на краже конфиденциальной информации с хостов, прежде всего правительственных организаций в регионе Азиатско-Тихоокеанского региона. В процессе исследования было выявлено, что группа собирает данные в промышленных масштабах, поэтому им требуется максимальная автоматизация сбора данных и наличие нескольких альтернативных способов постоянного доступа и мониторинга атакуемых систем.

Один из способов получения постоянного доступа к удаленным сетевым сервисам - создание обратного SSH-туннеля. В данном случае злоумышленники используют SSH-клиент из набора инструментов OpenSSH for Windows вместе с файлом закрытого ключа OPENSSH, который скрывается с помощью скрипта "a.bat". Эти файлы передаются на целевой хост по протоколу SMB с помощью общих папок.

Для обеспечения постоянного доступа к инфраструктуре злоумышленники также используют различные инструменты для туннелирования трафика. Использование нескольких туннелей позволяет им сохранять доступ к системам даже в случае обнаружения и ликвидации одного из туннелей. Таким образом, они могут проводить разведку и подключаться к удаленным узлам.

В данной статье также описывается процесс создания обратного SSH-туннеля. Файлы закрытого ключа скопированы в папку AppReadiness, которая является частью службы AppReadiness в Windows. Злоумышленники использовали файлы с расширениями .ini и .dat для скрытия их истинного назначения. После копирования файлов ключей, выполняется сценарий a.bat, который выполняет команды для удаления доступа к файлу ключа.

В целом, ToddyCat использует различные инструменты для постоянного доступа к инфраструктуре и сбора информации с хостов. Их автоматизированный подход и использование различных альтернативных способов доступа позволяют им проводить широкомасштабные операции по краже конфиденциальных данных.

Indicators of Compromise

IPv4

  • 103.27.202.85
  • 118.193.40.42

Domains

  • Ha.bbmouseme.com

URLs

  • http://23.106.122.5/hamcore.se2
  • http://www.netportal.or.kr/common/css/ham.js
  • http://www.netportal.or.kr/common/css/main.js
  • https://etracking.nso.go.th/UserFiles/File/111/hamcore.se2
  • https://etracking.nso.go.th/UserFiles/File/111/tasklist.exe

MD5

  • 1d2b32910b500368ef0933cdc43fde0b
  • 1f514121162865a9e664c919e71a6f62
  • 34985fae5fa8e9ebaa872de8d0105005
  • 4a79a8b1f6978862ecfa71b55066aadd
  • 5c2870f18e64a14a64abf9a56f5b6e6b
  • 6f32d6cfaad3a956aacea4c5a5c4fbfe
  • 750ef49afb88ddd52f6b0c500be9b717
  • 853a75364d76e9726474335bcd17e225
  • 9dc7237ac63d552270c5ca27960168c3
  • afea0827779025c92cab86f685d6429a
  • ba3ef3d0947031fb9ffbc2401ba82d79
  • c7d8266c63f8aeca8d5f5bdcd433e72a

Похожие записи:

  1. ToddyCat APT IOCs - Part 2
  2. ToddyCat APT IOCs - Part 3
  3. ToddyCat APT IOCs
  4. DeftTorero APT IOCs
  5. DiceyF APT IOCs
APT Kaspersky Lab ToddyCat
Добавить комментарий