TA397 APT IOCs

security IOC
Опубликовано

Недавно компания Proofpoint обнаружила TA397, группу постоянных угроз (advanced persistent threat, APT), также известную как Bitter, которая атаковала турецкую оборонную организацию с помощью копьеметалки. В кампании использовались заманухи, связанные с проектами государственной инфраструктуры на Мадагаскаре, содержащие архивы RAR с альтернативными потоками данных NTFS (ADS). Эти ADS-потоки передавали вредоносный файл-ярлык (LNK), который выполнял команды PowerShell для создания запланированного задания для загрузки дополнительной полезной нагрузки.

TA397 APT

В этой атаке TA397 развернул два трояна удаленного доступа (RAT): WmRAT и MiyaRAT, предназначенные для сбора разведданных и их утечки. WmRAT - это бэкдор на базе C++, способный выполнять команды, делать скриншоты, определять геолокационные данные и красть системную информацию. MiyaRAT, также написанный на C++, обладает схожей функциональностью.

По мнению Proofpoint, эта атака соответствует тактике TA397, которая включает использование RAR-архивов и запланированных задач для сохранения, нацеливание на организации оборонного сектора в регионах EMEA и APAC, а также использование RAT, исторически приписываемых группе. Примечательно, что MiyaRAT, судя по всему, предназначалась для особо ценных целей, о чем свидетельствует ее ограниченное использование.

По мнению Proofpoint, деятельность TA397, скорее всего, связана со сбором разведданных в поддержку одного из правительств Южной Азии. Последовательное внимание группы к оборонному, энергетическому и инженерному секторам в регионах EMEA и APAC подчеркивает ее способность адаптировать инструменты и методы для эффективного поражения дорогостоящих объектов.

Indicators of Compromise

IPv4

  • 38.180.142.228
  • 96.9.215.155

Domains

  • academymusica.com
  • jacknwoods.com
  • samsnewlooker.com

SHA256

  • 10cec5a84943f9b0c635640fad93fd2a2469cc46aae5e43a4604c903d139970f
  • 53a653aae9678075276bdb8ccf5eaff947f9121f73b8dcf24858c0447922d0b1
  • c7ab300df27ad41f8d9e52e2d732f95479f4212a3c3d62dbf0511b37b3e81317
  • f6c77098906f5634789d7fd7ff294bfd95325d69f1be96be1ee49ff161e07733
Похожие записи:
  1. TA423 / Red Ladon APT IOCs
  2. TA866 APT IOCs
  3. Charming Kitten (TA453) APT IOCs
  4. TA4557 APT IOCs
  5. TA4903 APT IOCs
APT MiyaRAT Proofpoint TA397 WmRAT
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий