Celestial Force Operation IOCs

security IOC

Аналитики компании Cisco Talos обнаружили продолжающуюся кампанию по созданию вредоносного ПО под названием Операция " Celestial Force", активную с 2018 года.


В этой кампании используется вредоносная программа GravityRAT для Android и загрузчик для Windows под названием "HeavyLift". Управление этими заражениями осуществляется с помощью инструмента под названием "GravityAdmin", который может обрабатывать несколько кампаний одновременно. Talos приписывает эту кампанию пакистанской группе угроз, которую они называют "Космический леопард" и которая занимается шпионажем против индийских организаций, особенно в оборонном и правительственном секторах.

Для получения доступа к своим целям кампания использует два вектора заражения - социальную инженерию и spear phishing. Копьевой фишинг Копьевой фишинг состоит из сообщений, отправляемых целям с соответствующими формулировками и малдоками, содержащими вредоносное ПО, такое как GravityRAT.

Другой вектор заражения, набирающий популярность в этой операции и ставший основной тактикой операций Cosmic Leopard, состоит в том, чтобы связаться с целью через каналы социальных сетей, установить с ней доверительные отношения и в итоге отправить ей вредоносную ссылку для загрузки либо GravityRAT для Windows или Android, либо загрузчика HeavyLift для Windows.

Изначально GravityRAT был обнаружен в 2018 году и использовался для атак на системы Windows. К 2019 году он распространился на устройства под управлением Android. HeavyLift, появившийся примерно в то же время, представляет собой загрузчик, используемый для развертывания других вредоносных программ с помощью социальной инженерии. Компания Talos сообщает о росте использования мобильных вредоносных программ для шпионажа в последние годы.

"GravityAdmin" контролирует зараженные устройства через различные панели, предназначенные для конкретных кампаний. Эти кампании, такие как "SIERRA", "QUEBEC" и "FOXTROT", характеризуются использованием вредоносных программ как для Windows, так и для Android. Cosmic Leopard использует такие тактики, как фишинг и социальная инженерия, часто связываясь с объектами через социальные сети для распространения вредоносного ПО.

Indicators of Compromise

Domains

  • androidadbserver.com
  • androidmetricsasia.com
  • androidsdkstream.com
  • androidwebkit.com
  • cloudieapp.net
  • craftwithme.uk
  • cvscout.uk
  • dl01.mozillasecurity.com
  • javacdnlib.com
  • jdklibraries.com
  • officelibraries.com
  • playstoreapi.net
  • rockamore.co.uk
  • sdklibraries.com
  • sexyber.net
  • teraspace.co.in
  • webbucket.co.uk
  • windowsupdatecloud.com
  • zclouddrive.com

SHA256

  • 04e216f4780b6292ccc836fa0481607c62abb244f6a2eedc21c4a822bcf6d79f
  • 06b617aa8c38f916de8553ff6f572dcaa96e5c8941063c55b6c424289038c3a1
  • 12d98137cd1b0cf59ce2fafbfe3a9c3477a42dae840909adad5d4d9f05dd8ede
  • 1382997d3a5bb9bdbb9d41bb84c916784591c7cdae68305c3177f327d8a63b71
  • 36851d1da9b2f35da92d70d4c88ea1675f1059d68fafd3abb1099e075512b45e
  • 380df073825aca1e2fdbea379431c2f4571a8c7d9369e207a31d2479fbc7be88
  • 4ebdfa738ef74945f6165e337050889dfa0aad61115b738672bbeda648a59dab
  • 5695c1e5e4b381844a36d8281126eef73a9641a315f3fdd2eb475c9073c5f4da
  • 63a76ca25a5e1e1cf6f0ca8d32ce14980736195e4e2990682b3294b125d241cf
  • 688c8e4522061bb9d82e4c3584f7ef8afc6f9e07e2374567755faad2a22e25b8
  • 69414a0ca1de6b2ab7b504a507d35c859fc5a1b8e0b3cf0c6a8948b2f652cbe9
  • 838fd5d269fa09ef4f7e9f586b6577a9f46123a0af551de02de78501d916236d
  • 8d458fb59b6da20e1ba1658bb4a1f7dbb46d894530878e91b64d3c675d3d4516
  • 8e9bcc00fc32ddc612bdc0f1465fc79b40fc9e2df1003d452885e7e10feab1ee
  • c00cedd6579e01187cd256736b8a506c168c6770776475e8327631df2181fae2
  • ceb7b757b89693373ffa1c46dd96544bdc25d1a47608c2ea24578294bcf1db37
  • da3907cf75662c3401581a5140831f8b2520a4c3645257b3860c7db94295af88
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий