APT41 APT IOCs

security IOC

На протяжении всего 2021 года Group-IB активно изучали атаки APT41

  • “Рабочие дни” группы APT41 — с понедельника по пятницу. Среднее рабочее время начинается с 10 утра и заканчивается ближе к 7 вечера по UTC+8.
  • В качестве первоначального вектора группа использует веб-приложения, уязвимые к SQL-инъекциям.
  • География атак группы включает правительственные и частные организации из США, Тайваня, Индии, Таиланда, Китая, Гонконга, Монголии, Индонезии, Вьетнама, Бангладеша, Ирландии, Брунея и Великобритании.
  • Главный инструмент группы в исследованных нами вредоносных кампаниях — кастомный вариант Cobalt Strike Beacon.
  • Для разведки группа применяет такие инструменты, как Acunetix, Nmap, Sqlmap, OneForAll, subdomain3, subDomainsBrute, Sublist3r.
  • По оценкам Group-IB, группа APT41 за 2021 год нашла и проэксплуатировала SQL-инъекции в 43 из 86 тестируемых веб-приложений.
  • По оценкам Group-IB, группа APT41 за 2021 год смогла скомпрометировать и получить разный уровень доступа как минимум в 13 организациях по всему миру.
  • С помощью SQL-инъекций APT41 получает доступ к командной оболочке целевого сервера и возможность выполнять команды.
  • Целевые индустрии APT41 в рамках исследованных нами кампаний: государственный сектор, производственные, здравоохранительные, логистические, гостиничные, финансовые, образовательные, телекоммуникационные, консалтинговые, спортивные и туристические организации, медиа, а также политики, военные учреждения и авиакомпании.

Indicators of Compromise

IPv4

  • 185.118.166.66
  • 185.250.150.22
  • 45.133.216.21
  • 45.140.146.169
  • 45.142.212.47
  • 45.142.214.242
  • 45.142.214.56
  • 45.144.31.31
  • 45.153.231.31
  • 45.153.231.32

Domains

  • colunm.tk
  • cs16.dns04.com
  • delaylink.tk
  • gentle-voice-65e3.bsnl.workers.dev
  • javaupdate.biguserup.workers.dev
  • mute-pond-371d.zalocdn.workers.dev
  • newimages.socialpt2021.tk
  • socialpt2021.club
  • updata.microsoft-api.workers.dev
SEC-1275-1
Добавить комментарий