ChamelGang APT IOCs - Part 2

security IOC
Опубликовано

SentinelLabs и Recorded Future выпустили отчет о кибершпионаже с использованием программ-вымогателей. В отчете подробно описывается деятельность ChamelGang, предполагаемого китайского злоумышленника, известного тем, что использует вымогательское ПО CatB для атак на высокопоставленные организации по всему миру. Кроме того, в отчете говорится об отдельном неатрибутированном кластере, использующем BestCrypt и Microsoft BitLocker и преследующем аналогичные цели.

ChamelGang APT

ChamelGang, также известная как CamoFei, была замечена в атаках на правительственные организации и объекты критической инфраструктуры в период с 2021 по 2023 год. Группа использует сложные методы для первоначального доступа, разведки, латерального перемещения и утечки данных. В частности, в ноябре 2022 года ChamelGang взломала 192 компьютера в администрации президента Бразилии, используя стандартные инструменты разведки для создания карты сети и сбора информации о критически важных системах. Затем они развернули программу CatB ransomware, оставив записки с выкупом с адресом ProtonMail и адресом для оплаты Bitcoin.

Исследователи также проанализировали второй кластер активности, напоминающий предыдущие вторжения с использованием артефактов, которые были связаны с другими китайскими и северокорейскими группами угроз. В этих случаях также часто использовались программы-вымогатели или другие средства шифрования данных.
Исследование показывает, как субъекты кибершпионажа стратегически используют программы-выкупы для получения финансовой выгоды, срыва атак или введения в заблуждение при попытках атрибуции. Используя ransomware, эти субъекты могут ошибочно идентифицировать свои операции как финансово мотивированные, а не связанные со шпионажем. Кроме того, группы APT могут покупать выкупное ПО у киберпреступников, чтобы еще больше ввести в заблуждение атрибуцию.

Программы-выкупы служат прикрытием для утечки данных, что является центральным элементом кибершпионажа. Такая дезинформация позволяет противоборствующим странам отрицать государственное спонсорство, приписывая действия независимым преступникам. Ошибочное отнесение этих действий к преступным операциям может привести к стратегическим последствиям, особенно при атаках на правительственные учреждения или критически важную инфраструктуру.

В оперативном плане программы-вымогатели приносят пользу APT-группам, уничтожая артефакты, связанные с вторжением и атрибуцией, что усложняет усилия по защите. Срочная необходимость восстановления пострадавших данных и систем может отвлечь внимание от текущей вредоносной деятельности.

Indicators of Compromise

Domains

  • resources.albaclass.com

URLs

  • http://185.225.19.61:80/3.txt

SHA1

  • 098e60cd5053ec9613d32a7ced68e44f1a417353
  • 09959be9b5f8ca21caa55577ce620034632a3f92
  • 0c762bff5b4a0bf5abbdf28afc15cfc6dce575b1
  • 15b0a25b4e55241b12d09633465d3109c324fb98
  • 19114f25a5681149ae3950fb0c52d59a69d031dc
  • 1e12b053a643895e071be3538bb9950667134563
  • 1fa6de645e7146a0a1b64e17d260546e598acd17
  • 24eb404a8daaace36a2cf5fb0f7b8608d2a3963a
  • 33009aaea3d58d8f72dfaf45dd8016707599d6c0
  • 374882c4752a05ec52e41943d7e3de8c1cccef10
  • 398c4c0ba6f5ea78175dd2846067f10d3864a2cc
  • 44759a6597bad3a287a7b82724a763208c599135
  • 57373d25527b3adf54eefcbfb69b41a513605af0
  • 5c15b0ad93f2a4ae08a2a8e070afb99795855e0f
  • 5d43ee1f75781033cd5accf298583529bdd12fa1
  • 608c2a64c9d41b891c18cb682a01eabf035a7f50
  • 65867d738ee978811a098a766810726e39d1391e
  • 782b157e901326d67a783e3e7dac9694a87dc7c2
  • 8052fcd408d9bd9e7594accdabb161ba8c4a9bd7
  • 882efb1b8093c46223e71e2be353b6a95dc24e7a
  • 8ce96c0eb64db6856908fde2a1e9bcc387ce2744
  • 8e76a2cc57fa5390462839c0471f522db3882c66
  • 951e603af10ec366ef0f258bf8d912efedbb5a4b
  • 9d1076b58f30142fe1c693b4edcec9816b3cb3c6
  • a2a81d5fcc0012e78fe4fe1b681a82c3158ce2bf
  • a566e410144d5972a92dc21de37e2b8617bfc347
  • a79bc5e91761c98d99dc028401cd284c3b340474
  • bd22ce42492bdad203ce1c712e075d422f70bbd3
  • c1eb7d5b772635d519cb6f4f575ada709d626c1a
  • d4828b63b596cf8d069b97a8a9396928ec3ad216
  • db99fc79a64873bef25998681392ac9be2c1c99c
  • dcd3f2a8ec1e63cb1bfcaa622ae48373ce0a01ce
  • de8bf4153bd72ef668b9a60419794ccabbe87c4f
  • dfab55758b195d1d30d89ba9175da3a49dc180be
  • e7ee9c41a1137b50d81238ae35b927f6ebbaae83
  • efa16441d95984bb5b278aa510e9942a40356f84
  • f4529b672eec3f629184fa4c62c3743ae5354f95
Похожие записи:
  1. Metador APT IOCs
  2. TA413 APT IOCs
  3. WIP19 APT IOCs
  4. Winter Vivern APT IOCs - Part 2
  5. RedGolf APT IOCs
APT CamoFei ChamelGang Recorded Future SentinelLabs
SEC-1275-1
Добавить комментарий