ZINC APT IOCs

security IOC

В последние месяцы Microsoft обнаружила широкий спектр социально-инженерных кампаний с использованием легитимного программного обеспечения с открытым исходным кодом, созданного агентом, которого отслеживаем как ZINC. Центр разведки угроз Microsoft (MSTIC) наблюдал активность, направленную на сотрудников организаций различных отраслей, включая СМИ, оборонную и аэрокосмическую промышленность, а также ИТ-услуги в США, Великобритании, Индии и России.

Основываясь на наблюдаемых методах работы, инфраструктуре, инструментарии и принадлежности учетных записей, MSTIC с высокой степенью уверенности приписывает эту кампанию ZINC, спонсируемой государством группе, базирующейся в Северной Корее, цели которой направлены на шпионаж, кражу данных, получение финансовой выгоды и разрушение сети.

Начиная с июня 2022 года, ZINC использовала традиционную тактику социальной инженерии, первоначально связываясь с людьми через LinkedIn, чтобы установить уровень доверия со своими целями. После успешного установления связи ZINC предлагал продолжить общение через WhatsApp, который выступал в качестве средства доставки вредоносной полезной нагрузки.

MSTIC наблюдал, как ZINC использовал для этих атак широкий спектр открытого программного обеспечения, включая PuTTY, KiTTY, TightVNC, Sumatra PDF Reader и muPDF/Subliminal Recording. Было замечено, что ZINC пыталась двигаться вбок и выкачивать собранную информацию из сетей жертв. С июня 2022 года злоумышленники успешно скомпрометировали множество организаций. О продолжающейся кампании, связанной с использованием PuTTY, также сообщалось компанией Mandiant ранее в этом месяце. Из-за широкого использования платформ и программного обеспечения, которые ZINC применяет в этой кампании, ZINC может представлять значительную угрозу для отдельных лиц и организаций в различных секторах и регионах.

Indicators of Compromise

IPv4

  • 137.184.15.189
  • 172.93.201.253
  • 44.238.74.84

URLs

  • http://cats.runtimerec.com/db/dbconn.php
  • http://elite4print.com/support/support.asp
  • http://hurricanepub.com/include/include.php
  • http://olidhealth.com/wp-includes/php-compat/compat.php
  • http://recruitment.raystechserv.com/lib/artichow/BarPlotDashboard.object.php
  • http://turnscor.com/wp-includes/contacts.php

SHA256

  • 1492fa04475b89484b5b0a02e6ba3e52544c264c294b57210404b96b65e63266
  • 14f736b7df6a35c29eaed82a47fc0a248684960aa8f2222b5ab8cdad28ead745
  • 37e30dc2faaabaf93f0539ffbde032461ab63a2c242fbe6e1f60a22344c8a334
  • 63cddab76e9d63e3cbea421b607342735d924e462c40f3917b1b5fbdf8d4a20d
  • 71beb4252e93291c7b14dfcb4cbb5d58144a76181fbe4aab3592121a3dbd9c55
  • aaad412aeb0f98c2c27bb817682f08673902a48b65213091534f96fe6f5494d9
  • c5a470cdf6f57125a8671f6b8843149cc78ccbc1a7bc615f34b23d9f241312bf
  • e1ecf0f7bd90553baaa83dcdc177e1d2b20d6ee5520f5d9b44cdf59389432b10
SEC-1275-1
Добавить комментарий