Larva-24011 APT IOCs

security IOC

Злоумышленник с псевдонимом Larva-24011 длительное время атакует уязвимые системы с целью получения финансовой выгоды. Недавно обнаружено, что помимо установки CoinMiner (программы для добычи криптовалюты) и прокси-программ, злоумышленник также вовлечен в другие виды атак, такие как учетные записи бэкдоров и вредоносные программы удаленного управления. Обнаружено, что злоумышленник действует, по крайней мере, с 2021 года, атакуя серверы IIS, Tomcat и MS-SQL.

Larva-24011 APT

В начале атак злоумышленник использовал грубую силу и атаки по словарю для проникновения на серверы MS-SQL и установки CoinMiner. Позднее злоумышленник начал использовать также и прокси-программы для финансовой выгоды. В последние случаи атак злоумышленник устанавливает вредоносные программы удаленного управления, такие как Gh0st RAT, и добавляет учетные записи с бэкдорами. Также было обнаружено использование инструментов для контроля зараженными системами, таких как RDP Wrapper и прокси-инструменты.

Злоумышленник атакует неправильно управляемые серверы MS-SQL, а также веб-серверы, такие как IIS и Tomcat. В обнаруженных случаях атак на серверы IIS и Tomcat, используется веб-оболочка для установки вредоносной нагрузки. Некоторые из собранных веб-оболочек содержат китайский контент, что указывает на возможное владение злоумышленником китайским языком.

В отчете также описывается анализ вредоносного ПО. Злоумышленник использует SqlShell для установки прокси-программ и CoinMiner. Наблюдается установка прокси-программы Traffmonetizer, а также утилит Proxyrack, PacketStream и других. CoinMiner также был обнаружен в последних случаях атак, причем он маскируется под легитимную программу. Для установки вредоносного ПО злоумышленник создает папку "sqlbase" и загружает в нее вредоносное ПО под именем "SqlBase.exe".

Анализ данных показывает, что злоумышленник продолжает атаковать уязвимые системы с помощью различных методов, таких как грубая сила и атаки по словарю. Он устанавливает CoinMiner и прокси-программы для финансовой выгоды, а также вредоносные программы удаленного управления и бэкдоры. Особое внимание уделено атакам на серверы MS-SQL, IIS и Tomcat. Вредоносное ПО, используемое злоумышленником, включает в себя SqlShell, Traffmonetizer и CoinMiner, распространяемый в форме, замаскированной под легитимные программы.

Indicators of Compromise

Domains

  • 5693.site
  • dgz.love-network.cc
  • dgz.se1f.cc
  • servxer.love-network.cc
  • servxermanual.love-network.cc

URLs

  • http://14.241.195.78//NetUserwu.exe
  • http://14.241.195.78//Server.exe
  • http://14.241.195.78/AddUserC.exe
  • http://14.241.195.78/NetUser40JK.exe
  • http://14.241.195.78/NetUserC.exe

MD5

  • 05b623046205d6b270e0ee6e15592278
  • 091b1a93e2811d76bc710d78599fd5e7
  • 09684d5265a03f5cf621a27c28c9e3cb
  • 130437bff207afd5c5adb8f01a7b7bc2
  • 131ca1648fda212a00e9a77b58343674
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий