TA413 LOWZERO IOCs

security IOC

В первой половине 2022 года компания Recorded Future наблюдала, как TA413 использовала уже исправленную уязвимость нулевого дня, направленную на продукт Sophos Firewall (CVE-2022-1040), использовала уязвимость "Follina" (CVE-2022-30190) вскоре после обнаружения и публикации, а также использовала недавно замеченный пользовательский бэкдор, который они отслеживают как LOWZERO, в кампаниях, направленных на тибетские организации.

Indicators of Compromise

IPv4

  • 118.99.13.68
  • 134.122.129.102
  • 134.122.129.38
  • 172.105.35.111
  • 192.46.213.63
  • 45.77.19.75
  • 45.77.45.222
  • 65.20.75.158

IPv4 Port Combinations

  • 45.77.19.75:110

Domains

  • airjaldi.online
  • applestatic.com
  • flex-jobs.in
  • freetibet.in
  • jobflex.in
  • newsindian.xyz
  • peopleoffreeworld.tk
  • t1bet.net
  • tibet.bet
  • tibetancongress.com
  • tibetanyouthcongress.tk
  • tibet-gov.web.app
  • tibetnews.today
  • tibetyouthcongress.com
  • vaccine-icmr.net

URLs

  • http://65.20.75.158/0524x86110.exe
  • http://65.20.75.158/poc.html

Emails

SHA256

  • 028e07fa88736f405d24f0d465bc789c3bcbbc9278effb3b1b73653847e86cf8
  • 5217c2a1802b0b0fe5592f9437cdfd21f87da1b6ebdc917679ed084e40096bfd
  • 86f45f0d6778fda90a56ea8986a9124d768715af425784bbd1c371feeb2bfe68
  • b113bc93dcd87d350850b7fd643c2c5aee678c3dcb717d1296b0cf57c749f0ab
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий