Главная страница » IOC
0
23 дня
IOC

FINALDRAFT RAT IOCs

remote access Trojan

FINALDRAFT - это новый троянец удаленного доступа (RAT), который был обнаружен в конце 2024 года. Исследователями его ассоциируют с группировкой REF7707, изъявившей интерес к правительственным структурам, академическим учреждениям и телекоммуникационным организациям в Южной Америке и Юго-Восточной Азии. FINALDRAFT представляет собой мощный инструмент кибершпионажа, обладающий высокой степенью стойкости и уклонения.

FINALDRAFT RAT

Вредоносная программа FINALDRAFT написана на языке программирования C++ и компилируется в виде 64-битного исполняемого файла под операционные системы Windows и Linux. Она использует Microsoft Graph API для командования и управления, что помогает скрыть вредоносный трафик под видом легитимных облачных коммуникаций. FINALDRAFT обладает такими функциями, как инъекция процессов, манипуляции с файлами, кража учетных данных и сетевой проксинг. Он также обходит механизмы трассировки событий Windows (ETW) и сканирования антивирусных программ (AMSI), чтобы избежать обнаружения. Вариант для Linux может самоуничтожиться, чтобы устранить улики для судебной экспертизы.

В ноябре 2024 года была обнаружена новая кампания, связанная с использованием вредоносной программы FINALDRAFT. Цели этой кампании включали министерство иностранных дел в Южной Америке, университет в Юго-Восточной Азии и телекоммуникационную организацию. Группировка REF7707 использовала украденные сетевые учетные данные и распространила вредоносную программу через приложение certutil от Microsoft и плагин удаленного управления Windows Remote Management (WinRM) Remote Shell.

Обновленный анализ показывает, что группировка REF7707 проявила глубокое понимание инфраструктуры своих целей, что указывает на длительную период разведки перед осуществлением атак. Кроме того, использование легитимных сервисов Microsoft, таких как Graph API, Outlook и WinRM, затрудняет обнаружение группировкой REF7707.

Технический анализ FINALDRAFT показывает, что он использует методы заражения, выполняет команды и административное управление через Microsoft Graph API, а также обладает расширенными возможностями, такими как инъекция процессов, манипуляции с файлами, сетевой проксинг и самоудаление на Linux. FINALDRAFT успешно обходит такие механизмы безопасности, как трассировка событий Windows (ETW) и сканирование антивирусных программ (AMSI).

Indicators of Compromise

Domains

  • poster.checkponit.com
  • support.fortineat.com
  • support.vmphere.com
  • update.hobiter.com

URLs

  • http://poster.checkponit.com/nzoMeFYgvjyXK3P
  • https://poster.checkponit.com:443/nzoMeFYgvjyXK3P
  • https://support.fortineat.com:443/nzoMeFYgvjyXK3P

MD5

  • 54c4d47332ebc8bd2505d6e7638717bc
  • 764a838236f5dceb3d199059ad36311e
  • 92306905be5b717654d5b105cd506bdd

SHA1

  • 2fdea656bf50277c8d728e1a005bf1e5157c68d0
  • c2e0559907bd721a050a9fee4448d062f5edf237
  • d79d5b7742dd848f35424df325610b2e8a8761eb

SHA256

  • 39e85de1b1121dc38a33eca97c41dbd9210124162c6d669d28480c833e059530
  • 83406905710e52f6af35b4b3c27549a12c28a628c492429d3a411fdb2d28cc8c
  • 9a11d6fcf76583f7f70ff55297fb550fed774b61f35ee2edd95cf6f959853bcf
Комментарии: 0
Похожие записи
0
8 дней
IOC

Dark Caracal APT IOCs

security
В первом квартале 2024 года исследователи обнаружили новую вредоносную программу под названием Poco RAT, которая, как предполагается, является продолжением кампании Dark Caracal, начавшейся в 2022 году.
0
14 дней
IOC

UAC-0173 APT IOCs

security
CERT-UA обнаружил возобновление деятельности организованной преступной группировки UAC-0173. Эта группировка, действуя по заказу и получая денежное вознаграждение, проводит кибератаки на компьютеры нотариусов
0
14 дней
IOC

Фишинговые атаки FatalRAT нацелены на промышленные сектора АТР

security
Недавно была выявлена волна фишинговых атак, направленных на промышленные организации в Азиатско-Тихоокеанском регионе (APAC). В этих атаках используется сложный троянец удаленного доступа (RAT), известный как FatalRAT.