Аналитический центр AhnLab Security (ASEC) отслеживает новые случаи использования вредоносной программы SmallTiger для атак на южнокорейские предприятия. Хотя метод первого доступа неизвестен, угроза распространяла SmallTiger через латеральное перемещение в системах компаний. Среди целей атаки подтверждены южнокорейские оборонные подрядчики, производители автомобильных деталей и полупроводников.
Впервые атаки были обнаружены в ноябре 2023 года, и группа Kimsuky использовала свои типичные методы. Однако вместо привычного подхода Kimsuky, вредоносная программа представляла собой обновление программного обеспечения компаний во время внутреннего распространения. Отмечается, что бэкдор, который был установлен в конце атаки, является DurianBeacon, который ранее использовался в атаках Andariel.
Угроза возобновила атаки в феврале 2024 года, и SmallTiger заменил предыдущую вредоносную программу, распространяемую в конце атаки. На май 2024 года SmallTiger все еще использовался в атаках.
Наиболее интересным фактом является то, что вредоносная программа DurianBeacon, которая была обнаружена в системах компаний, была установлена с использованием программ обновления программного обеспечения. DurianBeacon устанавливает DLL-файлы, расшифровывает их в памяти и выполняет команды C&C-сервера. Он представляет собой обновленную версию DurianBeacon, использованной в предыдущих атаках Andariel, и использует протокол SSL для связи с C&C-сервером.
Второй пример атаки включает использование вредоносной программы SmallTiger, которая устанавливается на этапе внутреннего распространения. В данном случае агент угроз также устанавливает Mimikatz и ProcDump, чтобы получить доступ к учетным данным. SmallTiger также включает функции, позволяющие взломщику перехватывать информацию из WebBrowser компании NirSoft.
Indicators of Compromise
IPv4 Port Combinations
- 104.168.145.83:993
- 38.110.1.69:993
Domain Port Combinations
- w3.navver.o-r.kr:53
- www.aslark.kro.kr:1433
- www.aslark1.kro.kr:1433
- www.devf.n-e.kr:443
- www.kepir.p-e.kr:1521
- www.kepir.p-e.kr:53
- www.lazor.kro.kr:3306
- www.lazor.kro.kr:443
- www.lazor.kro.kr:53
- www.lfgu.n-e.kr:53
- www.luvb.n-b.kr:3306
- www.navver.o-r.kr:53
- www.yah00.o-r.kr:53
URLs
- http://104.36.229.179/
- http://104.36.229.179/am.dll
- http://38.110.1.69/
- http://91.228.218.7/
- http://kevinblog.ddns.net/
- http://my.shoping.kro.kr/m.dat
- http://my.shoping.kro.kr/ng.db
- http://my.shoping.kro.kr/setting.dat
- http://w3.navver.o-r.kr/
- http://w3.navver.o-r.kr/bbs.html
- http://www.kepir.p-e.kr/
- http://www.navver.o-r.kr/
- http://www.navver.o-r.kr/nav.html
- http://www.yah00.o-r.kr/
- https://raw.githubusercontent.com/phantom5201314/google/main/kiss
- https://raw.githubusercontent.com/phantom5201314/google/main/nav.html
- https://raw.githubusercontent.com/phantom5201314/google/main/top.png
MD5
- 0859f9666e0428447451c036a38057f6
- 0be7d0975d3d81403d16ba4c4c9c7bf8
- 1210ff921922f2e27db4feae9fe63394
- 188f289206c3a945d670f29400d9f77f
- 232046aff635f1a5d81e415ef64649b7
- 2766fcf5fa81a2877864a07ef306cde4
- 2a60348bd0fb2b5fadeb2a691c921370
- 2a66a7ada05eb52f1776838b3dce5d06
- 2ab94919a1201f5fb4d2173405f3cfac
- 2b8fabd12a20fd4a6b5b426dca916f68
- 383e179513166b4869992072829f0ffb
- 461024c289d60c40093b82eed59afff9
- 48d53985cefb9029feb349bcd514c444
- 49070c554161628b85157423611fb764
- 57445041f7a1e57da92e858fc3efeabe
- 5e287812438655b76132a904e340c023
- 5e7acd7bf25dd7ef69bd76cbf7e96819
- 7327039d79843587b76af435e7ac27cd
- 751229f1aed80d2a5097010118d11152
- 88f7dd7c62cd5d24c2b837e006c01919
- 9283c404ec0e6f6e13780722f17e8acb
- 9c184826f3204461ae0a08dbc825473b
- 9e1203bbd0b90461022b66d9e9197cc9
- afe4a8291fb1d6a050a657b1d6d0f650
- c08e276205ed88e7fecf8c0914453702
- d6a38ffdbac241d69674fb142a420740
- e582bd909800e87952eb1f206a279e47
- e930b05efe23891d19bc354a4209be3e
- ee1db63be5d5ee0938d98e6a3d8094db
- f873e1ffac39818f4dd86b17843f9351
- fc8eb59d39dc5a3ee7cf231c76f2e606
- ffb29b1cd4e0ffa1f96df9514711fefc