Transparent Tribe APT IOCs

security IOC
Опубликовано

Cisco Talos недавно обнаружила продолжающуюся кампанию, проводимую APT-группой Transparent Tribe против студентов различных учебных заведений Индии. Как правило, эта APT-группа нацелена на правительственные (государственные служащие, военнослужащие) и псевдоправительственные организации (аналитические центры, конференции и т.д.), используя трояны удаленного доступа (RAT), такие как CrimsonRAT и ObliqueRAT.

Однако в этой новой кампании, датируемой декабрем 2021 года, противник нацелился на студентов университетов и колледжей Индии. Эта новая кампания также свидетельствует о том, что APT активно расширяет сеть своих жертв, включая гражданских пользователей.
Для осуществления шпионажа против своих целей группа в основном использует три семейства вредоносных программ на базе Windows:

CrimsonRAT - это имплантат на базе .NET, который является предпочтительным вредоносным ПО группы, по крайней мере, с 2020 года. Многочисленные кампании Transparent Tribe с использованием CrimsonRAT на протяжении многих лет свидетельствуют о постоянном развитии возможностей этого имплантата.

ObliqueRAT - это имплантат на базе C/C++, обнаруженный компанией Talos в начале 2020 года. ObliqueRAT в основном предназначен для гиперцелевых атак на правительственный персонал и в операциях, где скрытность является основным фокусом цепочки заражения злоумышленников. Этот имплантат также постоянно эволюционирует в тактике развертывания и вредоносных функциях с течением времени.

Пользовательские вредоносные программы, используемые Transparent Tribe, состоят из легко и быстро развертываемых загрузчиков, дропперов и легких RAT с ограниченными возможностями в отличие от CrimsonRAT и ObliqueRAT.

Indicators of Compromise

IPv4

  • 192.3.99.68
  • 198.37.123.126

Domains

  • centralink.online
  • cloud-drive.geo-news.tv
  • cloud-drive.store
  • drive-phone.geo-news.tv
  • drive-phone.online
  • geo-news.tv
  • in.statefinancebank.com
  • nsdrive-phone.online
  • phone-drive.online.geo-news.tv
  • statefinancebank.com
  • studentsportal.co
  • studentsportal.geo-news.tv
  • studentsportal.live
  • studentsportal.live.geo-news.tv
  • studentsportal.website
  • sunnyleone.hopto.org
  • swissaccount.ddns.net
  • user-onedrive.geo-news.tv
  • user-onedrive.live

SHA256

  • 0d61d5fe8dbf69c6e61771451212fc8e587d93246bd866adf1031147d6d4f8c2
  • 14ee2e3a9263bab359bc19050567d0dbd6371c8c0a7c6aeba71adbf5df2fc35b
  • 28390e3ea8a547f05ca08551f484292d46398a2b38fd4aae001ac7d056c5abc0
  • 388f212dfca2bfb5db0a8b9958a43da6860298cdd4fcd53ed2c75e3b059ee622
  • 79aee357ea68d8f66b929ba2e57465eaee4d965b0da5001fe589afe1588874e3
  • 8b786784c172c6f8b241b1286a2054294e8dc2c167d9b4daae0e310a1d923ba0
  • 8c1a5052bf3c1b33aff9e249ae860ea1435ce716d5b5be2ec3407520507c6d37
  • 8c9b0fd259e7f016f53be8edc53fe5f908b48ae691e21f0f820da11429e595d8
  • 9159d4e354218870461c96bedcc7b5b026f872d30235bb4536cc4a5ce4154725
  • b3f8e026f39056ec5e66700e03eeaf57454ee9c0bc1c719d74e10f5702957305
  • b4819738a277090405f0b5bbcb31d5dd3115f7026401e5231df727da0443332a
  • b614436bf9461b80384bae937d699f8c3886bcc65b907e0c8126b4df59ea8cdb
  • bdeb9d019a02eb49c21f7c04169406ac586d630032a059f63c497951303b8d00
  • e2cf71c78d198fdc0017b7bfd6ce8115301174302b3eaaf50cfc384db96bc573
  • f3a1ac021941b481ac7e2335b74ebf1e44728e8917381728f1f5b390c6f34706
  • fc34f9087ab199d0bac22aa97de48e5592dbf0784342b9ecd01b4a429272ab5b
Похожие записи:
  1. Transparent Tribe (CrimsonRAT) Malware IOC
  2. Mustang Panda APT IOCs
  3. ZxxZ RAT IOCs
  4. 3LOSH Сrypter Malware IOCs
  5. Dark Utilities IOCs
Cisco Talos CrimsonRAT ObliqueRAT Transparent Tribe
Добавить комментарий