RedCurl APT IOCs - Part 3

security IOC

Компания Huntress обнаружила активность нескольких организаций в Канаде, которая может быть связана с APT-группой RedCurl (Earth Kapre и Red Wolf). RedCurl известна своими атаками кибершпионажа, где они остаются незамеченными в течение длительных периодов времени и собирают данные из электронной почты, корпоративных документов и конфиденциальных файлов. RedCurl часто атакует компании из различных отраслей, включая оптовую розницу, финансы, туризм и строительство.

RedCurl APT

Huntress заметил, что активность RedCurl началась в ноябре 2023 года и продолжалась в середине и конце 2024 года. Компания обнаружила схожую инфраструктуру и тактику, используемую RedCurl. В ходе расследования Huntress обнаружила, что организации, которые они наблюдали, использовали сценариевые файлы и команды PowerShell для загрузки и распаковки файлов с помощью 7zip. А затем выполнялись команды Python для соединения с прокси-сервером и отправки собранных данных в облачное хранилище.

Хотя методы RedCurl остаются схожими с предыдущими атаками, конкретные методы и цепочка заражения немного отличаются. RedCurl использует PowerShell и Python для выполнения различных команд, загрузки и архивации файлов, а также отправки их на удаленный сервер. Они также удаляют созданные файлы и каталоги после выполнения атаки.

Эта активность RedCurl представляет определенную угрозу для организаций в Канаде, и Huntress рекомендует принять соответствующие меры для обнаружения и предотвращения таких атак. Они подчеркивают, что важно обратить внимание на использование PowerShell и Python в подозрительных командах и скриптах, а также на необычную активность сетевого трафика. Компания также предоставляет рекомендации по установке системы мониторинга и обновлению антивирусных программ для борьбы с этой угрозой.

Indicators of Compromise

IPv4

  • 103.139.238.168
  • 104.21.22.32
  • 104.21.37.229
  • 104.21.83.219
  • 172.64.80.1
  • 172.67.182.51
  • 172.67.202.51
  • 172.67.214.172
  • 188.130.207.253
  • 193.176.158.30
  • 23.254.224.79

Domains

  • alphastoned.pro
  • bora.teracloud.jp
  • cdn.wgroadcdn.workers.dev
  • sup.wgsphere.workers.dev

SHA256

  • 01d94de4d104f6df121f97bae9cbbfada5a9cd4c3af0e1c403271d8284815cad
  • 1935692d1c4492f99c969d11d81481aea736f3899b1f55af9c8f6cf6ca9b839c
  • 4af2c0c6087f9410cf57af4cf7eb09b5a3038bb78f4e50625402e32ad9662e66
  • 574a55706697d7e0109cf920ae6e0047cd7a802c9ad457e3b68e7802f3f902ef
  • 5a8314cbdccc7362a100b9db92b05597dad37c13b4cbb7b0fd1ef58d625dd454
  • 6d85ad9e14a23ed6bf700f636273b30f53c54267d0f624c8ff7bc0008f7db4f7
  • 8117e40ee7f824f63373a4f5625bb62749f69159d0c449b3ce2f35aad3b83549
  • 904669bd897dbb99561ef080d9818ff4bc9c106aa476d25b992439cdea4d1b0b
  • 9bdf91507fb4f3772a6d66a78f0f1f44075eefba4af65094c374f9d72e25bade
  • 9d667de8a99e757176cea1aa0af0d81972005d4abf3b7aff942d8c30fb151e35
  • c75048a4933c3061f6cd02c8ca96ed524166fce4cc4b9e0c7ea6ac8295dc3c47
  • ea308c76a2f927b160a143d94072b0dce232e04b751f0c6432a94e05164e716d
  • ff3706e94d9b769f78e4271928382426cb034b11c5a0f6a8ffea35726cc03692
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий