Пакистанские APT усиливают атаки на правительство Индии.

security IOC
Опубликовано

В Индии наблюдается рост кибератак со стороны Advanced Persistent Threat (APT), связанных с Пакистаном. Команда Seqrite Labs APT обнаружила увеличение кампаний SideCopy, использующих RAT AllaKore, и Transparent Tribe (APT36), использующих RAT Crimson. Кроме того, появились новые spear-phishing кампании, такие как Operation RusticWeb и FlightNight. В первом квартале 2024 года также было зарегистрировано более 2900 разрушительных атак на индийские организации, проведенных хактивистскими группами.

SideCopy - это группировка APT, связанная с Пакистаном, которая уже несколько лет атакует индийские государственные структуры. У них в арсенале есть несколько RAT, включая AllaKore. Transparent Tribe (APT36) также таргетирует Индию и использует RAT Crimson. Атаки SideCopy осуществляются через spear-phishing с использованием архивных файлов, которые запускают процессы MSHTA и HTA для выполения вредоносной нагрузки. Наконец, AllaKore RAT выполняется на зараженных системах и подключается к C2-серверам.

AllaKore RAT имеет функциональность, включающую сбор информации о системе, загрузку и выполнение файлов, перехват клавиатуры и кражу данных буфера обмена. RAT также взаимодействует с C2-сервером для получения команд. Обнаружены различные варианты и версии RAT AllaKore, в том числе msmediaGPview, msvideolib и другие.

Кампания SideCopy использует две RAT AllaKore, которые работают вместе, дополняя друг друга. Обе полезные нагрузки имеют различные размеры и создают идентификаторы соединения на основе системной информации. Обнаружен сетевой трафик для портов 9828 и 6663, связанный с AllaKore RAT.

Таким образом, атаки APT со стороны SideCopy и Transparent Tribe на индийские государственные структуры набирают обороты, и RAT AllaKore играет значительную роль в этих кампаниях. Индия остается одной из наиболее подверженных стран киберугрозам, и необходимо принять соответствующие меры для защиты от таких атак.

Indicators of Compromise

IPv4

  • 151.106.97.183
  • 155.94.209.4
  • 162.241.85.104
  • 162.245.191.214
  • 164.68.102.44
  • 176.107.182.55
  • 204.44.124.134
  • 213.136.94.11

Domains

  • juichangchi.online
  • revivelife.in
  • smokeworld.in
  • vparking.online

URLs

  • https://revivelife.in/assets/js/other/grant/
  • https://revivelife.in/assets/js/other/grant/32476sdfsdafgsdcsd3476328.hta
  • https://revivelife.in/assets/js/other/new/
  • https://revivelife.in/assets/js/other/new/jfhdsjfh34frjkfs23432.hta
  • https://revivelife.in/assets/js/support/c/index.php
  • https://revivelife.in/assets/js/support/i/index.php
  • https://smokeworld.in/wp-content/plugins/header-footer-other/content/index.php
  • https://smokeworld.in/wp-content/plugins/header-footer-other/intro/index.php
  • https://smokeworld.in/wp-content/plugins/header-footer-show/01/
  • https://smokeworld.in/wp-content/plugins/header-footer-show/01/bjihfsdfhdjsh234234.hta
  • https://vparking.online/BetaVersion/MyDesk/assets/fonts/account/show/4358437iufgdshvjy5843765.hta
  • https://vparking.online/BetaVersion/MyDesk/assets/fonts/account/show/index.php
  • https://vparking.online/BetaVersion/MyDesk/plugins/quill/support/content/index.php
  • https://vparking.online/BetaVersion/MyDesk/plugins/quill/support/intro/

MD5

  • 1d7fc8a9241de652e481776e99aa3d46
  • 1e5285ee087c0d73c76fd5b0b7bc787c
  • 26bde2d6a60bfc6ae472c0e9c8d976e2
  • 29fa44d559b4661218669aa958851a59
  • 2a47ea398397730681f121f13efd796f
  • 2a680cf1e54f1a1f585496e14d34c7e9
  • 303b75553c5df52af087b5b084d50f98
  • 30796f8fb6a8ddc4432414be84b8a489
  • 312923e0baf9796a846e5aad0a4d0fb6
  • 37b10e4ac08534ec36a59be0009a63b4
  • 3cc6602a1f8a65b5c5e855df711edeb0
  • 48e1e695258a23742cd27586e262c55a
  • 4ba7ca56d1a6082f0303f2041b0c1a45
  • 6ab0466858eb6d71d830e7b2e86dab03
  • 6cda3b5940a2a97c5e71efcd1dd1d2ca
  • 6cdc79655e9866e31f6c901d0a05401d
  • 71b285c8903bb38d16d97c1042cbeb92
  • 760ff1f0496e78d37c77b2dc38bcbbe4
  • 76ca50a71e014aa2d089fed1251bf6cd
  • 7bb8f92770816f488f3a8f6fe25e71a7
  • 7cdc81a0f5c5b2d341de040a92fdd23a
  • 81b436873f678569c46918862576c3e0
  • 8740d186877598297e714fdf3ab507e9
  • 898df40a8f2a6702c0be059f513fab9d
  • 9684bf8955b348540446df6b78813cdb
  • 990bfd8bf27be13cca9fa1fa07a28350
  • 9d337c728c92bdb227055e4757952338
  • abeaa649bd3d8b9e04a3678b86d13b6b
  • afb24ec01881b91c220fec8bb2f53291
  • b3a5e819e3cf9834a6b33c606fc50289
  • bb5b569b38affb12dfe2ea6d5925e501
  • cadafc6a91fc4bba33230baed9a8a338
  • d7b909f611e8f9f454786f9c257f26eb
  • d907284734ea5bf3bd277e118b6c51f0
  • da529e7b6056a055e3bbbace20740ee9
  • dbf196ccb2fe4b6fb01f93a603056e55
  • e291fffbcb4b873b76566d5345094567
  • e3cf6985446cdeb2c523d2bc5f3b4a32
  • ecc65e6074464706bb2463cb74f576f7
  • eceb986d166526499f8f37fd3efd44db
  • f436aa95838a92b560f4cd1e1c321fe7
  • f74c59fd5b835bf7630fbf885d6a21aa
  • fa5a94f04e684d30ebdc4bf829d9c604
Похожие записи:
  1. Transparent Tribe (APT36) APT IOCs
  2. Transparent Tribe (CrimsonRAT) Malware IOC
  3. ZxxZ RAT IOCs
  4. APT36 (Transparent Tribe), Bitter APT IOCs
  5. ActionRAT Malware IOCs
Allakore APT APT36 Rat SideCopy Transparent Tribe
Добавить комментарий