LODEINFO (APT10) IOCs

security IOC

С 2019 года Kaspersky Lab отслеживает активность семейства вредоносных программ LODEINFO, ищет новые модификации и тщательно изучает любые атаки с использованием этих новых вариантов. LODEINFO - это сложное бесфайловое вредоносное ПО, впервые названное в блоге JPCERT/CC в феврале 2020 года. Вредоносная программа регулярно модифицировалась и обновлялась разработчиками для атак на СМИ, дипломатические, правительственные и общественные организации и аналитические центры в Японии.

Исследователи продолжали отслеживать LODEINFO и после этого. JPCERT/CC и Macnica Networks представили дополнительные сведения о деятельности LODEINFO в более поздней публикации. Исследователи "Касперского" также поделились новыми результатами во время конференции HITCON 2021, рассказав о деятельности LODEINFO в период с 2019 по 2020 год и показав высокую степень достоверности атрибуции APT10.

В марте 2022 года Kaspersky Lab наблюдали файл Microsoft Word, который использовался в качестве вектора заражения в некоторых атаках. В июне того же года был обнаружен SFX-файл, направленный на японское правительство или связанные с ним организации, с использованием файла-приманки с японским содержанием, а также с использованием имени известного японского политика в названии файла. Также был обнаружен новый шеллкод-загрузчик под названием DOWNIISSA, который используется для развертывания бэкдора LODEINFO.

Indicators of Compromise

IPV4

  • 103.175.16.39
  • 172.104.112.218
  • 172.104.72.4
  • 172.105.223.216
  • 202.182.108.127
  • 45.77.28.124
  • 5.8.95.174

Domains

  • www.dvdsesso.com

MD5

  • 013ef386b1c792faec51fc550fef063a
  • 016a974e70bbce6161862e0ac01a0211
  • 0fcf90fe2f5165286814ab858d6d4f2a
  • 15b80c5e86b8fd08440fe1a9ca9706c9
  • 16cd587529c230b1a6b47b66d3c84fcf
  • 16f0b02bf9676d066d245fe0c717ba52
  • 1a5a74453ebb9747b433342d1ba242cc
  • 26892038ab19c44ba55c84b20083cdbd
  • 6780d9241ad4d8de6e78d936fbf5a922
  • 76cdb7fe189845a0bc243969dba4e7a3
  • 89bd9cf51f8e01bc3b6ec025ed5775fc
  • 9066bec5834279ffcb8876f2fdb8752c
  • a0828f194d3835ea218609dd93d87d16
  • a809231cf901bad9d643494d0eb5a630
  • a8220a76c2fe3f505a7561c3adba5d4a
  • ad206315afaa0cd5b42f0fc7b537fefd
  • c5bdf14982543b71fb419df3b43fbf07
  • c9d724c2c5ae9653045396deaf7e3417
  • cb2fcd4fd44a7b98af37c6542b198f8d
  • d3cae3b6d948ffd17c5a165bad94f857
  • da1c9006b493d7e95db4d354c5f0e99f
  • da20ff8988198063b56680833c298113
  • db0bfce29c7c2f076f711cdde2898227
  • de4c87a05becc78ab2e3f568cd46272c
  • edc27b958c36b3af5ebc3f775ce0bcc7
  • f7de43a56bbb271f045851b77656d6bd
  • ff71fadc33b883de934e632ddb4c6b78
SEC-1275-1
Добавить комментарий