DoNot APT IOCs - Part 4

security IOC

Вредоносное приложение для Android, прикидывающееся чат-платформой, связано с индийской группой DONOT, которая занимается сбором разведывательной информации в Южной Азии.

DoNot APT

Приложение, известное как "Tanzeem" и "Tanzeem Update", направлено на конкретные лица и группы, возможно, связанные с террористическими организациями. После установки приложение запрашивает опасные разрешения и позволяет злоумышленникам получить доступ к конфиденциальным данным, таким как вызовы, SMS, местоположение и файлы. Приложение также может записывать экраны и перехватывать конфиденциальные данные, включая пароли. Интересно, что это первый случай использования группой DONOT легитимной платформы привлечения клиентов OneSignal для доставки фишинговых ссылок. Командно-контрольные серверы (C2) получают собранные данные через домены Appspot.

Эксперты предупреждают, что группа DONOT не ограничивается внутренним наблюдением, а направлена на организации в Южной Азии, используя новые методы для своей деятельности.

Indicators of Compromise

Domains

  • saturn789454.appspot.com
  • Solarradiationneutron.appspot.com
  • toolgpt.buzz
  • Updash.info

SHA256

  • 8689d59aac223219e0fdb7886be289a9536817eb6711089b5dd099a1e580f8e4
  • d512664df24b5f8a2b1211d240e3e767f5dd06809bb67afa367cdc06e2366aec
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий