Главная страница » IOC
0
11 часов
IOC

Активность APT-C-36 (Blind Eagle) в марте 2025 года

security

В настоящее время Palo Alto отслеживают активность группы, обозначенной нами как TGR-UNK-0044, которую с высокой степенью уверенности связывают с APT-C-36.

APT-C-36 (Blind Eagle) APT

  • Известный также под именем Blind Eagle, APT-C-36 - предполагаемый южноамериканский агент угроз, впервые замеченный в 2018 году.
  • После сообщений о кампаниях APT-C-36 в ноябре и декабре 2024 года мы обнаружили более поздние кампании в марте 2025 года.
  • В этих последних кампаниях используются те же методы, которые Checkpoint описал ранее.
  • Атаки начинаются с .url-файлов, которые забирают начальный загрузчик с WebDAV-сервера.
  • Загрузчик регистрируется на сервере C2, после чего из репозитория Github извлекается финальная версия.
  • Конечная полезная нагрузка обычно представляет собой Remcos RAT.
  • Связанный с ним репозиторий Github активно обновляет файлы, используемые для конечной полезной нагрузки.

Indicators of Compromise

IPv4

  • 177.255.84.37

IPv4 Port Combinations

  • 191.88.252.140:30204
  • 191.88.252.140:30805
  • 62.60.226.112:80

Domains

  • activistascol25.myonlineportal.net
  • asdasdsf.con-ip.com
  • camino003.duia.eu
  • computador12.ddns-ip.net
  • usuariofebrero25.dedyn.io
  • venitocamelo25.ddns-ip.net

URLs

  • https://github.com/fresas2025/fresa/raw/refs/heads/main/agropecuario.exe
  • https://github.com/fresas2025/fresa/raw/refs/heads/main/CON3.exe
  • https://github.com/fresas2025/fresa/raw/refs/heads/main/DesignsCornwall.exe
  • https://github.com/fresas2025/fresa/raw/refs/heads/main/frutas.exe
  • https://github.com/fresas2025/fresa/raw/refs/heads/main/salmon.exe

Malicious LNK

  • file://\\62.60.226.112@80\file\2430_1471.exe
  • file://\\62.60.226.112@80\file\2744_6673.exe
  • file://\\62.60.226.112@80\file\4917_8531.exe
  • file://\\62.60.226.112@80\file\590_9883.exe
  • file://\\62.60.226.112@80\file\7309_9071.exe
  • file://\\62.60.226.112@80\file\877_6120.exe
  • file://\\62.60.226.112@80\file\932_6199.exe

SHA256

  • 157f03405b2658baa1ee8f76f4801403ffdeb217df37d8d95e867787608de6e3
  • 2ab78e5d801c37d36d0941f74105bbb49917a89761b104527acc594faf95dc3a
  • 346530ea86a7fb02e7184736ed67363d736ba4fab6ab70f79129a962e61dd8fa
  • 47569431f421ff3ecf20a7898515ef4af78c27f3d53303a57f7c4f4225787191
  • 4deec3644eb9b38695579cd49eed7628d750d49b8c3ea59ce3e4989a823813bf
  • 5335603a304e42c6fef4d2fe76cbb92cf1b136d2ec9bea5a648fc002f392f2b1
  • 5590b65c4114fc8bb0eecad6cfe83b5efb1c667e57507a2c699812e282563f13
  • 61fb41b9fcf85698908bd772155e7a3e27c8cc33e1ed233b67a3a3063f522b63
  • 65d4f56e2813800de90ba1a3cbf13054fa238f233fc7b9db6a8caf1f2f987a90
  • 7234b5f14e83326a2f3db2c5180624c8c30da0495020caa4c80e5d03f14ebb56
  • 82788e1057e5d1634e5aa3d33b15b44899635a93c7da02ec96f6c793031b4dd1
  • 83cc9395582825c673c7738afbb9f53a95b83aeb21365ad42703bcedf1ded219
  • a08f11d4a8fd48e6f2dd5a3b1ea281e579f3f04293e67da8adb2ccd7b74acedb
  • ab9e926e4df55e4791b87167c7af7d58817e9b69b55cbaa8b54ce1ed3b032736
  • bf4ce102f2685d5c2e1096de43ea95c8eeaebb7378486ed02541226f1c1ada83
  • cec6dceccc5b3937ab34de1bdd3c66cfa58875459fc5174194c89b5c4fa133d6
  • dd3706144ba3f88dd1606e7d06e6b0ecc4b848108a5eb6c5612b8912da3bc6c2
  • e9df6fc0cd0fb856bd15a378653b76b33e9620735474daec01a413a205cf0832
  • f7cc357c11576175e97990254bbb03e9764879a47e6dfd1ffcf06fb1dd192aad
Комментарии: 0
Похожие записи
0
11 часов
IOC

Эксплойт Windows Shortcut, используемый в качестве «нулевого дня» в широко распространенных кампаниях APT

security
Команда Trend Zero Day Initiative (ZDI) обнаружила, что злоумышленники активно эксплуатируют уязвимость ZDI-CAN-25373 в файле Windows .lnk, что позволяет им выполнять скрытые вредоносные команды.
0
1 день
IOC

StilachiRAT Malware IOCs

remote access Trojan
В ноябре 2024 года исследователи Microsoft Incident Response обнаружили новый троян удаленного доступа (RAT) под названием StilachiRAT, который обладает сложными методами обнаружения и сохранения в целевой