APT-C-60 APT IOCs - Part 2

security IOC

Координационный центр JPCERT (JPCERT/CC) опубликовал отчет, в котором подробно описывается атака APT-C-60 на организацию в Японии в августе 2024 года.

APT-C-60 APT

Злоумышленник использовал фишинговое письмо, замаскированное под заявление о приеме на работу, чтобы заставить жертву загрузить вредоносное ПО по ссылке на Google Drive. Вредоносный файл, образ виртуального диска VHDX, содержал LNK-файлы и документы-обманки. После выполнения LNK-файл запускал ряд действий, в том числе создание загрузчика SecureBootUEFI.dat, который становился постоянным благодаря перехвату COM.

SecureBootUEFI.dat связывался с легитимными сервисами Bitbucket и StatCounter, используя последний для идентификации зараженных устройств путем кодирования уникальной информации об устройстве в данных реферера StatCounter. Впоследствии загрузчик получал дополнительную полезную нагрузку, Service.dat, которая, в свою очередь, извлекала и декодировала дальнейшие компоненты вредоносного ПО, cn.dat и sp.dat, сохраняя их в системе.

Использованный в атаке бэкдор, получивший в ESET название SpyGlace, представляет собой хорошо документированный инструмент с расширенной функциональностью, включая шифрованные коммуникации и модульное исполнение. Этот бэкдор был замечен в атаках, приписываемых APT-C-60, в частности, в аналогичных кампаниях, о которых сообщалось в период с августа по сентябрь 2024 года, направленных на страны Восточной Азии.

Indicators of Compromise

IPv4

  • 103.187.26.176
  • 103.6.244.46

URLs

  • https://bitbucket.org/ffg84883/3r23ruytgfdxz/raw/8ebddd79bb7ef1b9fcbc1651193b002bfef598fd/cbmp.txt
  • https://bitbucket.org/ffg84883/3r23ruytgfdxz/raw/8ebddd79bb7ef1b9fcbc1651193b002bfef598fd/icon.txt
  • https://bitbucket.org/ffg84883/3r23ruytgfdxz/raw/8ebddd79bb7ef1b9fcbc1651193b002bfef598fd/rapd.txt
  • https://bitbucket.org/hawnbzsd/hawnbzsd/downloads
  • https://bitbucket.org/hawnbzsd/hawnbzsd31/downloads
  • https://c.statcounter.com/12959680/0/f1596509/1/
  • https://c.statcounter.com/13025547/0/0a557459/1/

SHA1

  • 0830ef2fe7813ccf6821cad71a22e4384b4d02b4
  • 1e5920a6b79a93b1fa8daca32e13d1872da208ee
  • 33dba9c156f6ceda40aefa059dea6ef19a767ab2
  • 3affa67bc7789fd349f8a6c9e28fa1f0c453651f
  • 4508d0254431df5a59692d7427537df8a424dbba
  • 4589b97225ba3e4a4f382540318fa8ce724132d5
  • 5d3160f01920a6b11e3a23baec1ed9c6d8d37a68
  • 5ed4d42d0dcc929b7f1d29484b713b3b2dee88e3
  • 65300576ba66f199fca182c7002cb6701106f91c
  • 6cf281fc9795d5e94054cfe222994209779d0ba6
  • 783cd767b496577038edbe926d008166ebe1ba8c
  • 79e41b93b540f6747d0d2c3a22fd45ab0eac09ab
  • 7e8aeba19d804b8f2e7bffa7c6e4916cf3dbee62
  • 8abd64e0c4515d27fae4de74841e66cfc4371575
  • b1e0abfdaa655cf29b44d5848fab253c43d5350a
  • c198971f84a74e972142c6203761b81f8f854d2c
  • cc9cd337b28752b8ba1f41f773a3eac1876d8233
  • d94448afd4841981b1b49ecf63db3b63cb208853
  • fadd8a6c816bebe3924e0b4542549f55c5283db8
  • fd6c16a31f96e0fd65db5360a8b5c179a32e3b8e
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий