Larva-24009 APT IOCs

security IOC

Аналитический центр AhnLab Security (ASEC) подтвердил, что злоумышленник с именем Larva-24009 проводит фишинговые атаки на корейских пользователей. Хотя ранее считалось, что он преимущественно направлен на глобальных пользователей, недавно было подтверждено, что и корейские пользователи также подвергаются заражению. На данный момент мало известно о самом злоумышленнике и его конкретных целях, хотя было определено, что его атаки затрагивают отрасли блокчейн, музыку и здравоохранение.

Larva-24009 APT

Larva-24009 начинает фишинговые атаки, используя вредоносное ПО LNK, а затем устанавливает вредоносное ПО для утечки информации и удаленного контроля. Он использует специально созданные штаммы вредоносного ПО PowerShell, чтобы сохранить стабильность и контроль за зараженными системами. На начальном этапе атаки злоумышленник отправляет по электронной почте вложения с изображениями, документами и вредоносными LNK-файлами. Пользователи запускают LNK-файлы, что приводит к выполнению вредоносных команд PowerShell.

Особенностью злоумышленников Larva-24009 является использование различных сценариев PowerShell для загрузки вредоносной полезной нагрузки и выполнения команд. Они также контролируют зараженные системы с помощью коммерческих инструментов, таких как njRAT и QuasarRAT.

Indicators of Compromise

IPv4

  • 209.145.59.89

URLs

  • http://157.173.104.153/up/a.ps1
  • http://157.173.104.153/up/b.ps1
  • http://157.173.104.153/up/bb.ps1
  • http://157.173.104.153/up/bd.ps1
  • http://157.173.104.153/up/Tool/ChromePass.exe

MD5

  • 034e2beecd31b026e0bd9710fc2929d7
  • 094bc518d9adb0f72eee6c727ec1cef7
  • 154c1bd26ca2844a1147a8c7209db415
  • 1971d337664acbe3fc34a3846812aa54
  • 271b1166f4020e1cf875b9882dffc407
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий