TA423 / Red Ladon APT IOCs

security IOC

Компании Proofpoint и PwC Threat Intelligence совместно выявили кампанию кибершпионажа, активную с апреля 2022 года по июнь, в рамках которой структура эксплуатации ScanBox поставляется целям, посещающим вредоносный домен, выдающий себя за австралийский новостной сайт.

TA423 / Red Ladon APT

Совместные усилия исследователей Proofpoint и PwC дают умеренную оценку уверенности в том, что недавние кампании, направленные на федеральное правительство, энергетику и производственный сектор по всему миру, могут представлять собой недавние усилия TA423 / Red Ladon. Деятельность, пересекающаяся с этим угрожающим субъектом, была публично названа в правительственных обвинительных заключениях "APT40" и "Левиафан". В этом блоге анализируется структура и возможности образца ScanBox и плагинов, выявленных в этой кампании. Он также сопоставляет эту кампанию и ее виктимологию с предыдущими кампаниями, проведенными TA423 / Red Ladon, в которых использовалась инъекция шаблонов RTF.

  • Недавние целевые фишинговые кампании, использующие URL-адреса, выдающие себя за австралийские СМИ, для доставки разведывательного скрипта ScanBox;
  • Как работает этот пользовательский скрипт ScanBox и связанные с ним модули;
  • Как эта кампания соотносится с угрозами, возникшими в июне 2021 года, в которых использовалась инъекция шаблонов RTF;
  • TA423/Red Ladon нацелена на внутренние австралийские организации, а также на организации, занимающиеся разведкой морских месторождений энергии в Южно-Китайском море.

TA423 / Red Ladon: TA423 / Red Ladon - это китайский угрожающий субъект, мотивированный шпионажем, который действует с 2013 года, атакуя различные организации в ответ на политические события в Азиатско-Тихоокеанском регионе с акцентом на Южно-Китайское море. Среди целей - оборонные подрядчики, производители, университеты, правительственные агентства, юридические фирмы, участвующие в дипломатических спорах, и иностранные компании, вовлеченные в политику Австралазии или операции в Южно-Китайском море.

Indicators of Compromise

IPv4 Port Combinations

  • 139.59.60.116:443
  • 172.105.114.27:80

Domains

  • australianmorningnews.com
  • heraldsun.me
  • image.australianmorningnews.com
  • regionail.xyz
  • theaustralian.in
  • walmartsde.com

URLs

  • http://172.105.114.27/v<идентификатор жертвы>
  • http://asutralianmorningnews.com/?p=19-
  • http://australianmorningnews.com/?p=23
  • http://australianmorningnews.com/?p=23-
  • http://australianmorningnews.com/?p=30
  • http://australianmorningnews.com/?p=55
  • http://australianmorningnews.com/?p=58
  • http://image.australianmorningnews.com/i/
  • http://image.australianmorningnews.com/i/?cwhe18nc
  • http://image.australianmorningnews.com/i/c.php?data=
  • http://image.australianmorningnews.com/i/k.php?data=
  • http://image.australianmorningnews.com/i/p.php?data=
  • http://image.australianmorningnews.com/i/v.php?m=a&data=
  • http://image.australianmorningnews.com/i/v.php?m=b
  • http://image.australianmorningnews.com/i/v.php?m=p&data=
  • http://image.australianmorningnews.com/i/v.php?m=plug
  • http://walmartsde.com/UpdateConfig
  • https://magloball.com/nDo3SB
  • https://regionail.xyz/
  • https://regionail.xyz/austrade.au
  • https://theaustralian.in/europa.eeas
  • https://theaustralian.in/office
  • https://theaustralian.in/word

Emails

  • amianggitaphill@yahoo.com
  • ascents.nestora2@gmail.com
  • brittanisoq@outlook.com
  • charmainejuxtzk@outlook.com
  • claire3bluntxq@gmail.com
  • dagny382cber@outlook.com
  • earlt1948@gmail.com
  • entertainingemiliano20@gmail.com
  • goodlandteactuator@gmail.com
  • gradyt18iheme@outlook.com
  • marikok2bedax@outlook.com
  • mattbotossd@outlook.com
  • osinskigeovannyxw@gmail.com
  • pearlykeap3l@outlook.com
  • suzannehhu316@outlook.com
  • thuang6102@gmail.com
  • visitable.daishaju@gmail.com
  • walknermohammad26@gmail.com
  • zoezlb@gmail.com

SHA256

  • 0b9447cb00ae657365eb2b771f4f2c505e44ca96a0a062d54f3b8544215fc082
  • 13f593f217b4686d736bcfce3917964632e824cb0d054248b9ffcacc59b470d4
  • 18db4296309da48665121899c62ed8fb10f4f8d22e44fd70d2f9ac8902896db1
  • 22df809c1f47cb8d685f9055ad478991387016f03efd302fdde225215494eb83
  • 2a17927834995441c18d1b1b7ec9594eedfccaacca11e52401f83a82a982760e
  • 2f204f3b3abc97efc74b6fa016a874f9d4addb8ac70857267cc8e4feb9dbba26
  • 3909ae9b64b281cca55fc2cd6d92a11b882d1a58e4c34a59a997a7cb65aba8ef
  • 3d37a977f36e8448b087f8e114fe2a1db175372d4b84902887808a6fb0c8028f
  • 400be1d28d966ba8491f54237adad52ad4eea8a051f45f49774b92cbfdfcf1ea
  • 4dedb022d3c43db6cddd87f250db4758bd88c967f98302d97879d9fc4fadd8a2
  • 54ad4c1853179a59d5e9c48b1cfa880c91c5bf390fcfb94e700259b3f8998cb3
  • 55a5871b36109a38eed8aef943ccddf1ae9945f27f21b1c62210a810bb0f7196
  • 5681cf40c3f00c1a0dc89c05d983c0133cc6bf198bce59acfef788d25bcd9f69
  • 57c8123dd505dadb640872f83cf0475871993e99fdb40d8b821a9120e3479f53
  • 5a1c689cddb036ca589f6f2e53d323109b94ce062a09fb5b7c5a2efedd7306bc
  • 6d2b301e77839fff1c74425b37d02c3f3837ce50e856c21ae4cf7ababb04addc
  • 7795936ed1bdb7a5756c1ff821b2dc8739966abbb00e3e0ae114ee728bf1cf1a
  • 7e1ab1b08eb4b69df11955c3dfe3050be467a374adb704a917ee1a69abcc58a5
  • 8033a52b327ad6635fc75f6c2c17b2cb4d56e1fd00081935541c0fb020e2582f
  • 981c762ce305cd5221e8757bafa50a00fff8fbc92db5612b311c458d48c29793
  • 98fbd5eb6ae126fda8e36e3602e6793c1f719ef3fdbf792689035104b39f14ac
  • a115051a02e4faa8eb06d3870af44560274847c099d8e2feb2ef8db8885edf5e
  • ab963bf7b1567190b8e5f48e7c88d53c02d7a3a57bd2294719595573a1f2b7c7
  • b7e435ccded277740d643309898d344268010808e0582f34ae07e879ac32cf1e
  • c4471540b811f091124c166ab51d6d03b6757f71e29c61a0e360e5c64957fcdd
  • c4f6fedb636f07e1e53eaef9f18334122cb9da4193c843b4d31311347290a78f
  • cb981d04f21a97fdb46b101a882a3490e245760489f4122deb4a0ac951a8eaee
  • d357502511352995e9523c746131f8ed38457c38a77381c03dda1a1968abce42
  • e1f34cb031bac517796c363c2b31366509bf1367599fd5583c6bc2b0314758bb
  • e3f1519db0039e7423f49d92d43d549b152b534856a7efde1a7eda7a9276bb22
  • e8a919e0e02fecfe538a8698250ac3eaba969e2af2cc9d96fc86675a658e201e
  • F55c020d55d64d9188c916dcbece901bc6eb373ed572d349ff61758bd212857f
SEC-1275-1
Добавить комментарий