STEEP#MAVERICK IOCs

security IOC

Команда Securonix Threat Research недавно обнаружила новую кампанию скрытых атак, направленную на несколько военных/оружейных компаний-подрядчиков, включая, вероятно, стратегического поставщика истребителя F-35 Lightning II. В стейджере в основном использовался PowerShell, и хотя стейджеры, написанные на PowerShell, не являются уникальными, процедуры, задействованные в них, отличаются целым рядом интересных тактик, методологией сохранения, контр-лечением и слоями обфускации для сокрытия кода.

Кроме того CnC, задействованное в стейджере, было достаточно сложным. Securonix заметили три уникальных домена, использующих Cloudflare CDN.

Общая цепочка атаки показана на рисунке ниже, где показана фаза начального компрометации, которая, как вы можете видеть, является довольно надежной по сравнению с большинством загрузчиков, которые видели в прошлом.

Цепочка атак

Indicators of Compromise

IPv4

  • 28.199.53.243
  • 165.227.139.39

Domains

  • cobham-satcom.onrender.com
  • onrender.com
  • terma.app
  • terma.dev
  • terma.icu
  • terma.ink
  • terma.lol
  • terma.pics
  • terma.vip
  • terma.wiki

SHA256

  • 691c0a362337f37cf6d92b7a80d7c6407c433f1b476406236e565c6ade1c5e87
  • da0888f06b2e690a3a4f52f3b04131f7a181c12c3cb8e6861fc67ff062beef37
SEC-1275-1
Добавить комментарий