Главная страница » IOC
0
2 года
IOC

8220 Gang APT IOCs - Part 3

security

Центр экстренного реагирования безопасности Ahnlab (ASEC) недавно подтвердил, что группа атак 8220 Gang использует уязвимость Log4Shell для установки CoinMiner на серверах VMware Horizon. Среди систем, на которые была направлена атака, были корейские компании, связанные с энергетикой, с непропатченными и уязвимыми системами, поэтому они стали добычей многочисленных злоумышленников.

Log4Shell (CVE-2021-44228) - это уязвимость удаленного выполнения кода и уязвимость в Java-утилите протоколирования Log4j, которая может удаленно выполнить Java-объект в серверах, использующих Log4j, путем включения адреса удаленного Java-объекта в сообщение журнала и его отправки.

8220 Gang

8220 Gang - это группа атак, нацеленная на уязвимые системы Windows Linux. Их деятельность была замечена с 2017 года. Группа имеет тенденцию устанавливать CoinMiner, если находит уязвимые системы.

Группа нацелена не только на глобальные системы, но и на корейские. ASEC представила случай, когда группа злоупотребляла уязвимостью CVE-2022-26134 сервера Atlassian Confluence для атаки на корейские системы и установки CoinMiner.

Если атака на уязвимость CVE-2022-26134 прошла успешно, следующая команда PowerShell загружает и выполняет дополнительные сценарии PowerShell и в конечном итоге устанавливает XMRig CoinMiner.

Недавно компания Fortinet раскрыла случай, когда 8220 Gang установил ScrubCrypt, используя уязвимости сервера Oracle Weblogic. ScrubCrypt - это криптер, разработанный в формате .NET и предоставляющий возможность установки дополнительного вредоносного ПО.

Компания AhnLab смогла идентифицировать случай атаки, внедренный в Fortinet, через журналы AhnLab Smart Defense (ASD). ScrubCrypt, установленный в процессе атаки, в конечном итоге устанавливает XMRig CoinMiner, который является конечной целью атаки 8220 Gang.

ASEC подтвердила, что группа 8220 Gang в последнее время использовала уязвимости Oracle Weblogic, а также уязвимости Log4Shell для загрузки ScrubCrypt. Вредоносная программа, установленная через ScrubCrypt, - это XMRig CoinMine.

Indicators of Compromise

IPv4

  • 179.43.155.202

IPv4 Port Combinations

  • 174.138.19.0:8080

Domains

  • su95.bpdeliver.ru
  • su-95.letmaker.top

URLs

  • http://163.123.142.210/bypass.ps1
  • http://77.91.84.42/bypass.ps1
  • http://77.91.84.42/deliver1.exe
  • http://77.91.84.42/plugin_3.dll
  • http://77.91.84.42/plugin_4.dll
  • http://77.91.84.42/Whkpws.png

MD5

  • 2748c76e21f7daa0d41419725af8a134
  • 851d4ab539030d2ccaea220f8ca35e10
  • bd0312d048419353d57068f5514240dc
  • d63be89106d40f7b22e5c66de6ea5d65
Комментарии: 0
Похожие записи
0
4 часа
IOC

BeaverTail и Tropidoor распространялись через рекрутинговые письма

security
В ноябре 2024 года был раскрыт случай распространения вредоносных программ BeaverTail и Tropidoor через рекрутинговые электронные письма, где злоумышленники выдавали себя за рекрутеров из сообщества разработчиков Dev.
0
4 часа
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.
0
2 дня
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.