Iron Tiger компрометирует чат-приложение Mimi

security IOC

Во время проверки инфраструктуры командно-контрольной системы (C2) HyberBro, связанной с китайской группой вторжений LuckyMouse, SEKOIA заметила необычную связь с одним из приложений. Дальнейшее расследование позволило идентифицировать это приложение как "MìMì" (秘秘 - "секретный", он же Mi). Mimi - это китайскоязычное электронное приложение, разработанное компанией Xiamen Baiquan Information Technology Co. Ltd. SEKOIA установила, что версия мессенджера "MìMì" для MacOS с 26 мая 2022 года троянизирована для загрузки и выполнения двоичного файла Mach-O под названием "rshell".

Cервер, на котором был размещен образец HyperBro и вредоносный исполняемый файл Mach-O под названием "rshell". HyperBro - это семейство вредоносных программ, используемое группой Iron Tiger (также известной как Emissary Panda, APT27, Bronze Union и Luckymouse), которая занимается кибершпионажем уже почти десять лет, и до сих пор не было сообщений о том, что эта группа связана с инструментами для операционных систем (ОС) Mac. Мы проанализировали образец Mach-O и обнаружили, что это новое семейство вредоносных программ, нацеленное на платформу Mac OS. Также обнаруженыобразцы, скомпилированные для платформы Linux, которые принадлежат к тому же семейству вредоносных программ.

Приложение для чата под названием MiMi извлекает исполняемый файл rshell - приложение, с которым мы недавно столкнулись при расследовании деятельности угрожающего актера Earth Berberoka. Мы заметили, что Iron Tiger контролирует серверы, на которых размещены программы установки приложений MiMi, что говорит о цепочке поставок. Дальнейшее расследование показало, что установщики чата MiMi были скомпрометированы для загрузки и установки образцов HyperBro для платформы Windows и образцов rshell для платформы Mac OS. Хотя это был не первый случай использования данной техники, последнее событие показывает заинтересованность Iron Tiger в компрометации жертв, использующих три основные платформы: Windows, Linux и macOS.

Indicators of Compromise

IPv4

  • 103.79.76.88
  • 103.79.77.178
  • 139.180.216.65
  • 45.142.214.193

Domains

  • center.veryssl.org
  • linux.updatelive-oline.com
  • time.ntp-server.asia

URLs

  • http://139.180.216.65/dlpprem32.bin
  • http://139.180.216.65/dlpprem32.dll
  • http://139.180.216.65/rshell
  • http://45.77.250.141/dlpprem32.bin
  • http://45.77.250.141/dlpprem32.dll
  • https://104.168.211.246:443/api/v2/ajax
  • https://139.180.216.65:443/api/v2/ajax
  • https://45.77.250.141:443/api/v2/ajax
  • https://80.92.206.158:443/api/v2/ajax

SHA256

  • 07758c93ba33843a9c5603f900f2ad0231c64ec77f6bba6de83ed6e2902022e4
  • 07aa739fa4942cfd68d4a075568456797f11ae34db5cd56f88d80185bc1d7a29
  • 22c3c2bf77a94ed5f207c00e240f558d6411308d237779ffb12e04bbe2c90356
  • 3a9e72b3810b320fa6826a1273732fee7a8e2b2e5c0fd95b8c36bbab970e830a
  • 466981b6aa38ae35a2c0e21a2066b4e803cc0bf76409eeb605892604c20ccf3a
  • 4742c1987fdd968d7f094dc5a3ea3e9b5340b47e5a61846ac6ac7ae03fc7288f
  • 56b55e3587dc8e40e36c2eadba62dd2b39890dc0df313620f3b42ab0f0b92a3d
  • 64e771c894616100202e83f3574f8accc8453138af6709367c99157e33bb613a
  • 8019b7deaf41b48c38b8b48e016f208a28e0909d437d4e35e3e35f7995758564
  • 8c3be245cbbe9206a5d146017c14b8f965ab7045268033d70811d5bcc4b796ec
  • c10a3a78cdf1e48189ac270767f7f718bd15a9d4e48e580a9ef6ceff5f4abf46
  • d0fec5c5e2687e76af07a4a3c6e2e2b02789838c0b802f5041443ab482bc3498
  • d67aebfafa347a21805dbded3fa310e2268a5d2255fcb7f1c8004502a95e7538
  • e909c4dac832e9d1ecd1673c5bff6e1939d9c832a2509cb64931e4aa1e334077
  • ef2f20d1016cd39ff44f1399c8aa5c1ff5bfd4850d611ba375fbeff7f7e3eaf6
  • f6e0e5c9b9d43e008805644d937770b399f859cbba475ad837805d9adec13a2c
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий