Digital Eye Operation IOCs

security IOC

С конца июня по середину июля 2024 года злоумышленники, связанные с Китаем, атаковали крупных поставщиков ИТ-услуг в Южной Европе в рамках кампании, получившей название Operation Digital Eye. По данным SentinelLabs, эта кибершпионская операция была направлена на проникновение в ценные объекты, управляющие критическими данными, инфраструктурой и решениями по кибербезопасности для различных отраслей промышленности, с целью компрометации нижестоящих организаций.

Digital Eye Operation

Основные методы, использованные злоумышленниками, включают SQL-инъекции для получения первоначального доступа, веб-оболочки на базе PHP для сохранения доступа и кражу учетных данных с помощью модифицированных инструментов Mimikatz. Эти пользовательские инструменты, получившие общее название mimCN, были связаны с другими китайскими кампаниями, такими как Operation Tainted Love и Operation Soft Cell. Латеральное перемещение опиралось на протокол удаленных рабочих столов (RDP) и злоупотребление удаленными туннелями Visual Studio Code от Microsoft.

Туннели Visual Studio Code обеспечивали полный доступ к конечным точкам, замаскированный под легитимную деятельность, используя доверенные исполняемые файлы с подписью Microsoft и инфраструктуру Azure. Такой подход позволял злоумышленникам встраивать вредоносную деятельность в обычные рабочие процессы ИТ, избегая обнаружения. Кроме того, злоумышленники использовали инфраструктуру, расположенную в Европе, что, вероятно, еще больше снижало подозрения.

SentinelLabs не может приписать операцию «Digital Eye» конкретному злоумышленнику; однако компания считает, что кампания была проведена связанным с Китаем злоумышленником, поскольку вредоносное ПО, инфраструктура и методы совпадают, а также набор целей и время проведения операций.

Indicators of Compromise

IPv4

  • 146.70.161.78
  • 185.76.78.117
  • 20.103.221.187
  • 4.232.170.137

SHA1

  • 0be9dd709d7d68887a92c793881dd4a010796e95
  • 213f06ed5ac9e688816b4bbe73bf507994949964
  • 289f3bfe297923507cf4c26ca500ae01819c6a95
  • 2e2cf8a4a0e7decceb8e22536b13173479da0d13
  • 3035d8846d7a9f309f2d24daba6ac33ad99524fc
  • 399776991a094e1ee78b2a915bf4491e67c04ec7
  • 3a688c844259822c51ceb3aea508303c4a654eb3
  • 4d6947a19dd9a420c22fee39fac8b4df95a47569
  • 63cea28d927f8e629377399fa08a9cb4fd0c6238
  • 6549e50645bb1c02e4972651d335a75cb6d5aa74
  • 7941909fd5c1277c6f7baf21e484c9e59ea454ee
  • 7cb7bcb9187f8faf47fd77cf1213ab3fe2350a77
  • 82b1cb9b69d5f05bb20852322fb3c2c00bce9134
  • 83ca53c95705352ff60149b0b17a686956e23172
  • a9d6d0c47728094feb794ad7e25c253737633140
  • b2811cb4d0afe13d2722093039a72588c348dcfd
  • c0e03fce8f7f51e91da79f773aa870f0897b0ee2
  • cb6726fb3f7952ede04ed22d2c72389255991827
  • d57fa43944676c56e66f4b20ffa3d82048e354fd
  • e572380ab95c4ab5a87f701d4654d3386911b387
  • e8a8d8fa7122c1592a314343b45bac2c213bb57d
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий