В первой половине 2022 года компания Recorded Future наблюдала, как TA413 использовала уже исправленную уязвимость нулевого дня, направленную на продукт Sophos Firewall (CVE-2022-1040), использовала уязвимость "Follina" (CVE-2022-30190) вскоре после обнаружения и публикации, а также использовала недавно замеченный пользовательский бэкдор, который они отслеживают как LOWZERO, в кампаниях, направленных на тибетские организации.
Indicators of Compromise
IPv4
- 118.99.13.68
- 134.122.129.102
- 134.122.129.38
- 172.105.35.111
- 192.46.213.63
- 45.77.19.75
- 45.77.45.222
- 65.20.75.158
IPv4 Port Combinations
- 45.77.19.75:110
Domains
- airjaldi.online
- applestatic.com
- flex-jobs.in
- freetibet.in
- jobflex.in
- newsindian.xyz
- peopleoffreeworld.tk
- t1bet.net
- tibet.bet
- tibetancongress.com
- tibetanyouthcongress.tk
- tibet-gov.web.app
- tibetnews.today
- tibetyouthcongress.com
- vaccine-icmr.net
URLs
- http://65.20.75.158/0524x86110.exe
- http://65.20.75.158/poc.html
Emails
SHA256
- 028e07fa88736f405d24f0d465bc789c3bcbbc9278effb3b1b73653847e86cf8
- 5217c2a1802b0b0fe5592f9437cdfd21f87da1b6ebdc917679ed084e40096bfd
- 86f45f0d6778fda90a56ea8986a9124d768715af425784bbd1c371feeb2bfe68
- b113bc93dcd87d350850b7fd643c2c5aee678c3dcb717d1296b0cf57c749f0ab