Cuckoo Spear Campaign IOCs - II

security IOC

Команда Cybereason Security Services Team раскрыла сложные возможности инструментов Cuckoo Spear, NOOPLDR и NOOPDOOR.

Cuckoo Spear Campaign

Варианты NOOPLDR, включая NOOPLDR-DLL и NOOPLDR-C#, устанавливают постоянство, регистрируясь в качестве служб и внедряя шелл-код в системные процессы. NOOPLDR-DLL использует обфускацию кода, динамические пользовательские системные вызовы и модифицированные легитимные DLL, чтобы избежать обнаружения, а NOOPLDR-C# применяет сильную обфускацию, затягивание времени и выполняет код C# из XML-файлов с помощью msbuild.exe.

Оба загрузчика извлекают и расшифровывают шелл-код из реестра или файла .dat, используя шифрование AES с ключами, полученными из уникальных идентификаторов машины. Вредоносная программа NOOPDOOR, связанная с NOOPLDR, имеет клиентский и серверный компоненты, предназначенные для скрытности и стойкости. Клиентская часть включает в себя хеширование API, защиту от отладки, алгоритм генерации доменов (DGA) и собственный TCP-протокол для утечки данных. Серверная сторона способна изменять правила брандмауэра и выполнять команды для поворота сети.

Кампания имеет связи с известной группой APT10, демонстрируя четкую связь между несколькими инцидентами и раскрывая новые инструменты и стратегии, используемые злоумышленниками. Cuckoo Spear в основном нацеливалась на японские компании в производственном, политическом и промышленном секторах, а ее основной целью был кибершпионаж.

Indicators of Compromise

Domains

  • 3utilities.com
  • foeake.org
  • inbullar.com
  • mangoaiml.com
  • ocouomors.com
  • onthewifi.com
  • paunsonaz.com
  • redirectme.net
  • saraosting.com
  • serveblog.net
  • temmans.com
  • torefrog.com

MD5

  • 0dbaff93ec6243035275364d5c1c26c9
  • 3b07fbaa8b9c5a53658abe3ac9f66e60
  • 4f1c68d2fe3b0255e706e4c7de0a739f
  • 6b3148e824fd84f54592fe5d2e766740
  • 73a904ba602e1bf068f5d217403fa41f
  • 9eef43edc87ab1f301ec8730113535ee
  • b5228638d5de18e59ebbddc13c120879
  • c39b02c9771c6be9610977408ebb509f
  • c76b1ed6d094edbad887f68093ef6bf9
  • d6d59b1ff85bf971286782f8f43d6326
  • deedb32bf51dc8f3399614c8a9718e75
  • e0a8048c7f69da35bbb2cd35d86c2dc8
  • ea474e87f23ce6575057e76108665ffb
  • f12873d8b69624d972b3c6fa55e52483
  • fe36fd0f09aadd3e7ddd7b66f18d5e93
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий