DiceyF APT IOCs

security IOC

Аналитики "Касперского" поделились результатами исследования APT, получившей название "DiceyF" и нацеленной на онлайн-казино и других жертв в Юго-Восточной Азии. GamePlayerFramework позволяет DiceyF осуществлять кибершпионскую деятельность с определенной степенью скрытности.


GamePlayerFramework - это полная переработка на C# ранее известной вредоносной программы PuppetLoader на C++/ассемблере. Этот "фреймворк" включает в себя загрузчики, программы запуска и набор плагинов, которые обеспечивают удаленный доступ и крадут нажатия клавиш и данные буфера обмена. В течение нескольких месяцев разработчики DiceyF добавили дополнительные возможности шифрования, чтобы лучше скрыть свою деятельность по ведению журналов и мониторингу.

Метод первоначального заражения примечателен тем, что фреймворк распространяется через установочные пакеты, развернутые через центры управления решениями безопасности. Кроме того, компоненты этого фреймворка подписаны цифровым сертификатом, что повышает доверие к нему со стороны решений безопасности.
Чтобы еще больше замаскировать вредоносные компоненты, злоумышленники добавили к некоторым из них графический интерфейс. Такие имплантаты маскируются под компоненты мессенджера, который используется в организациях жертв. Чтобы у жертв не возникло подозрений относительно замаскированных имплантатов, злоумышленники получали информацию об организациях-жертвах (например, этаж, на котором расположен IT-отдел организации) и включали ее в графические окна, демонстрируемые жертвам.

Indicators of Compromise

IPv4

  • 202.182.115.238
  • 45.77.47.149

Domains

  • apps.imangolm.com
  • archivess.imangoim.net
  • quic.flashesplayer.com

MD5

  • 031466c63bba4eafb11f2966e765c0d2
  • 06711900cc5d7cd665bc1b6ec9d7eacf
  • 07d6bf2df064e97d0e635a67f083f87d
  • 07ff76be283fb44ce9e9427e12e63aa6
  • 0ac4e0e08bd28e88acd4991071c98261
  • 0c4dae01f21c3d2fa55f38314fe34958
  • 193d192ed0cec2487d18b13aedc94cb6
  • 19f8809d04c06bba2ad95a937f133a89
  • 1d59e527886e4bd72df0f609239b9d58
  • 294c22533c950d7d9d74a82729ba3841
  • 2bd3b84b318beb5714cac9194078607a
  • 39736c93f7d9cc62cdc00438c174f8a4
  • 3a1780e6fb6250b0fb63d2884788670e
  • 49b457ee8eaa83b18cc00d2f579824c6
  • 4d72e573d9c4d31371c8020ba7179daf
  • 56836b19b5c35c81e006f4843ff63e51
  • 969ef4a64203ba2ab54a6822559600cc
  • cb8a30fcbcb462be66462f6928c6e44a
  • ddbc9081ed2c503c5e4512a8e61b5389
SEC-1275-1
Добавить комментарий