HUI Loader IOCs

security IOC

Исследователи Secureworks Counter Threat Unit (CTU) связывают два кластера активности HUI Loader исключительно с китайскими группами.

Группа BRONZE RIVERSIDE, вероятно, ответственна за один кластер, который фокусируется на краже интеллектуальной собственности у японских организаций. Другой кластер связан с развертыванием программ LockFile, AtomSilo, Rook, Night Sky и Pandora для выкупа после вторжения. Исследователи CTU приписывают эту деятельность китайской группе BRONZE STARLIGHT.

Виктимология, короткий срок жизни каждого семейства ransomware и доступ к вредоносному ПО, используемому спонсируемыми правительством группами угроз, позволяют предположить, что основной мотивацией BRONZE STARLIGHT может быть кража интеллектуальной собственности или кибершпионаж, а не финансовая выгода. Программа-выкуп может отвлечь специалистов по реагированию на инциденты от выявления истинных намерений участников угрозы и снизить вероятность приписывания вредоносной деятельности китайской угрожающей группе, спонсируемой правительством.

HUI Loader - это пользовательский загрузчик DLL, название которого происходит от строки в загрузчике Вредоносная программа загружается легитимными программами, которые уязвимы к перехвату порядка поиска DLL. HUI Loader расшифровывает и загружает третий файл, содержащий зашифрованную полезную нагрузку, которая также развертывается на скомпрометированном узле. Исследователи CTU наблюдали, как HUI Loader загружает такие RAT, как SodaMaster, PlugX, Cobalt Strike и QuasarRAT. Образцы HUI Loader, загружающие Cobalt Strike Beacon, были связаны с деятельностью программ LockFile, AtomSilo, Rook, Night Sky и Pandora ransomware.

Indicators of Compromise

IPv4

  • 172.105.229.30
  • 45.32.101.191
  • 45.61.139.38

Domains

  • api.microsoftlab.xyz
  • api.wensente.xyz
  • peek.openssl-digicert.xyz
  • update.ajaxrenew.com
  • update.microsoftlab.top
  • update.microupdate.xyz

MD5

  • 0c4a84b66832a08dccc42b478d9d5e1b
  • 4c3c7053ec145ad3976b2a84038c5feb
  • 577a47811b3c57a663bcbf2aab99c9e3
  • 69ef2d7f9ed29840b60a7fd32030cbd1
  • 809fcab1225981e87060033d72edaeaf
  • a4a6abf4ed4c9447683fba729a17197b
  • b0175b09e58d34689a7403abed2ae2f5
  • b16bb2f910f21e2d4f6e2aa1a1ea0d8b
  • bde2a3c8e034d30ce13e684f324c6702
  • f259765905cd16ff40132f35c85a862a
  • f3355c8f43dada5a62aab60089c03d1e

SHA1

  • 160320b920a5ef22ac17b48146152ffbef60461f
  • 3246867705e8aad60491fe195bcc83af79470b22
  • 46a9b419d73a518effbc19c3316d8a20cff9ce4a
  • 5df448af3f7935c3f4a2904b16af9ea00d13cb0c
  • 64f5044709efc77230484cec8a0d784947056022
  • a413f4bcb7406710b76fabdaba95bb4690b24406
  • a75e9b702a892cc3e531e158ab2e4206b939f379
  • b24e254f6fdd67318547915495f56f8f2a0ac4fe
  • d9efd4c4e1fb4e3d4a171c4ca0985839ad1cdee9
  • dbc48357bfbe41f5bfdd3045066486e76a23ad2d
  • ead02cb3f6b811427f2635a18398392bc2ebca3a

SHA256

  • 15b52c468cfd4dee4599ec22b1c04b977416fbe5220ab30a097f403903d28a3a
  • 5b56c5d86347e164c6e571c86dbf5b1535eae6b979fede6ed66b01e79ea33b7b
  • 5b5cd007fb96eef68d3d123eba82a4e4dfce50cdf3b05fe82bfa097870c09903
  • 62fea3942e884855283faf3fb68f41be747c5baa922d140509237c2d7bacdd17
  • 70225015489cae369d311b62724ef0caf658ffdf62e5edbafd8267a8842e7696
  • 7fe5674c9a3af8413d0ec71072a1c27d39edc14e4d110bfeb79d1148d55ce0b6
  • 8502852561fcb867d9cbf45ac24c5985fa195432b542dbf8753d5f3d7175b120
  • 91f8805e64f434099d0137d0b7ebf3db3ccbf5d76cd071d1604e3e12a348f2d9
  • b0fb6c7eecbf711b2c503d7f8f3cf949404e2dd256b621c8cf1f3a2bdfb54301
  • c7a515276883a03981accfac182341940eb36071e2a59e8fb6cb22f81aa145ae
  • f04f444d9f17d4534d37d3369bf0b20415186862986e62a25f59fd0c2c87562f
SEC-1275-1
Добавить комментарий