Главная страница » IOC
0
10 месяцев
IOC

Timitator APT IOCs

security

Timitator проводила атаки против китайских институтов и предприятий в 2022-2023 годах. Они использовали различные методы. Атаки осуществлялись через exe, chm, iso (img) и lnk файлы. После успешной атаки, жертвы загружали программу cobaltstrike, чтобы установить стабильное соединение и дальше разрабатывали атаки на различные цели. Timitator также использовала тактику других организаций, чтобы спрятать свои атаки.

Последние фишинговые образцы от Timitator были перехвачены и проанализированы лабораторией DeepService DeepZone Intelligence Lab. Оказалось, что Timitator использовала троянцы RUST для удаленного управления вместо CobaltStrike. Их файлы также содержали виртуальные оболочки VMP.

Timitator нередко использовала технику white-on-black в своих атаках. Использовались комбинации из двух эксплойтов. Вредоносные файлы, попавшие на диск, использовали защиту программы с помощью VMP-шеллинга, но при этом их безопасность была низкой, так как они не имели легитимной сигнатуры.

Анализ образцов также показал, что Timitator использовала различные файлы, такие как Log.dll и SogouInput.dll, для выполнения вредоносных действий. Использовался расшифрованный шеллкод и программы удаленного управления для кражи файлов и выполнения команд.

Timitator неоднократно использовала CobaltStrike и другие методы атак. Недавние образцы показали, что у них были изменения в использовании троянцев RUST, а также в описании фишинговых файлов. Timitator также была связана с другими атаками, такими как Hailian, и было обнаружено сходство между их шелл-кодами.

Indicators of Compromise

IPv4 Port Combinations

  • 129.232.134.106:443
  • 207.148.71.4:443
  • 38.180.94.8:80
  • 39.104.205.68:443
  • 45.131.132.146:80
  • 64.176.58.16:80

Domain Port Combinations

  • strengthening-memories-reports-restoration.trycloudflare.com:443

SHA256

  • 49d3777d0d02cd2a4d1c44313c72279fee1681c1e3566535f9117d17b274424b
  • 6c959ea4fd3b4dcf8202237870e0782a18bfde05418157b42377c9475355d3ac
  • 6cb80b939b8de9f15726391f807b947951083da28c2647b8c8451021d559f7ee
  • 774c9181a53d08b245a71a2cf7f55c24c4dbc7fa5e4b7e0aa39f855c74c65e55
  • 87bfce678855fa498d85b143beaf129f9bd468ebdcc1226b2ba39780a02f3d2e
  • aac2cbd4cb119dec6c9a8c58f86b8bdd83d27fdaed85149bb2572599de9e32c0
  • acf0fb4dac33e197de3a3e142eeaa7e5a892607424e8ea8708d49c65f3703d61
  • ba27c022b5e81fc719ed3097f950bb3e7613dc2c8b9b2851bbb573f7c48ae286
Комментарии: 0
Похожие записи
0
10 часов
IOC

UNC3886 нацелился на маршрутизаторы Juniper

security
Китайско-немецкая шпионская группа UNC3886 установила пользовательские бэкдоры на маршрутизаторы Juniper Networks, использующие операционную систему Junos OS. Бэкдоры обладали различными функциями, включая
0
1 день
IOC

APT37 - RokRat

security
APT37, также известная как ScarCruft, Reaper и Red Eyes - северокорейская хакерская группировка, спонсируемая государством и действующая с 2012 года. Изначально ее деятельность была сосредоточена на правительственном
0
1 день
IOC

Squid Werewolf APT IOCs

security
В ходе недавней кибератаки злоумышленники использовали фишинговую электронную почту, чтобы атаковать ключевых сотрудников одной из промышленных организаций. Обнаруженная в декабре 2024 года экспертами BI.