Устойчивая кампания с использованием китайских средств шпионажа направлена на телекоммуникационные компании

security IOC
Опубликовано

Команда Threat Hunter компании Symantec обнаружила устойчивую кампанию шпионажа, направленную на операторов связи в одной азиатской стране. Злоумышленники, используя инструменты, связанные с китайскими шпионскими группами, устанавливали бэкдоры в сетях целевых компаний и пытались похитить учетные данные.


В ходе кампании, продолжавшейся по меньшей мере с 2021 года, использовались такие вредоносные программы, как Coolclient, Quickheal и Rainyday, связанные с китайскими шпионажными группировками. В дополнение к пользовательским бэкдорам злоумышленники использовали вредоносные программы для кейлоггинга, инструменты для сканирования портов и методы кражи учетных данных. Инструменты, использованные в этой кампании, имеют тесные связи с несколькими китайскими группировками, включая Fireant, Needleminer и Firefly, которые, по общему мнению, действуют из Китая. Конечный мотив кампании по вторжению остается неясным: возможны такие варианты, как сбор разведданных о телекоммуникационном секторе, подслушивание или создание разрушительного потенциала для критически важной инфраструктуры в выбранной стране.

Indicators of Compromise

IPv4

  • 103.180.161.123
  • 110.34.166.198
  • 113.160.186.153
  • 115.79.207.240
  • 117.2.82.149
  • 134.209.147.60
  • 134.209.156.5
  • 139.59.35.77
  • 139.59.37.50
  • 139.84.130.178
  • 139.84.137.139
  • 139.84.163.162
  • 139.84.165.248
  • 139.84.166.131
  • 14.161.4.152
  • 142.93.223.200
  • 143.110.244.132
  • 143.110.250.11
  • 146.190.18.167
  • 157.245.107.16
  • 159.65.158.28
  • 159.89.170.164
  • 203.159.95.197
  • 206.189.136.180
  • 206.189.140.171
  • 43.152.200.62
  • 49.204.77.162
  • 65.20.66.128
  • 65.20.66.214
  • 65.20.69.80
  • 65.20.70.110
  • 65.20.73.72
  • 65.20.76.211
  • 65.20.82.212

SHA256

  • 089809e73354648b3caed7db6bc24dcce4f2ef0f327206fd14f36c6619d9ed30
  • 1906e7d5a745a364c91f5e230e16e1566721ace1183a57e8d25ff437664c7d02
  • 3aae73ff8ff5973c74af5a7991ca6a57ce797b7b775e1358efd9d76b67b5797b
  • 4c136270ca4c17edb77985aca570e291fa77abaaa48761f85e184892089164a6
  • 6a5fdbe9579b69d4a5e1f6930145debd5adb2a9f93dd052bfb442cbd0141277b
  • 6ad67d7f76986359865667bdd51ba267f6bd7e560270512074448dd7b088bcb7
  • c348eba51897fbd55ca3ffdaab21259b8f73688e6e008b923ebc597c6272d2d9
  • c61daa0df88a33387b94b22bfc0b68d1211a57357aff401613c07832b5192fc0
  • dc9a12574f8c3b5bed6043b1cd3fd43672779d132c864bb22ae8b0a5dee24576
Похожие записи:
  1. Lancefly APT IOCs
  2. Grayling APT IOCs
  3. Alpha Ransomware IOCs
  4. Springtail APT IOCs
  5. Cardinal APT IOCs
Coolclient Quickheal Rainyday Symantec
SEC-1275-1
Добавить комментарий