SpyNote RAT IOCs - Part 8

remote access Trojan IOC

Команда CYFIRMA провела анализ вредоносного образца Android, который был создан с использованием инструмента удаленного администрирования Spynote.

SpyNote RAT

Хотя конкретные детали о цели атаки не разглашаются, можно предположить, что такая цель могла быть интересна APT-группам. Образец был обнаружен в Южной Азии и действовал через приложение WhatsApp. Он устанавливался на устройство и работал в фоновом режиме, скрывая свою деятельность.

Технический анализ обнаружил, что вредоносное приложение имело разрешения для получения точных данных о местоположении, чтения контактов, использования камеры, доступа к SMS и взаимодействия с внешним хранилищем устройства. Было выявлено также несколько модулей, которые позволяли злоумышленнику отслеживать звонки, определять местоположение жертвы и получать подробную информацию о устройстве.

Инструмент удаленного администрирования Spynote, используемый в атаке, развивался со временем, и были созданы различные обновленные версии, такие как SpyMax, Crax RAT и Eagle Spy. Каждая из этих версий обладала расширенными возможностями и использовалась злоумышленниками для шпионажа, финансовых махинаций и даже личной мести. APT-группы, такие как OilRig (APT34), APT-C-37 (известная также как Pat-Bear) и OilAlpha, использовали инструмент Spynote в своих вредоносных кампаниях. Они нацеливались на критически важные сектора, такие как правительственные организации, НПО и финансовые институты.

В данном случае подозревается, что атаку могла организовать неизвестная APT-группа или злоумышленник. Это случай подтверждает, что инструмент Spynote может быть использован различными группами для компрометации Android-устройств и выполнения шпионажа. Поэтому пользователи должны принимать меры предосторожности, чтобы защитить свои устройства от подобных угроз и обновлять свои системы регулярно, чтобы исправить известные уязвимости.

Indicators of Compromise

IPv4

  • 182.191.122.219

SHA256

  • 0552137aaa2c9419c8843d50bcb15a4c80913ed47eb71c5e5ab9b5ac257944ed
  • 6127daf756865ee089ba83efdadebda2c047026a698759de09127d0dfe630e8d
  • 8aa1a66e03596c0eba6f91fb081ddb4081f43b02d421e069c6be8bbf5d399b89
  • a70089301ff628f09b90b269f6e8f5c6b5ae0b3073028abcc62fec9d2f1c954c
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий