Главная страница » IOC
0
1 год
IOC

Andariel APT IOCs - Part 2

security

Аналитическая группа ASEC выявила обстоятельства распространения вредоносного ПО группой Andariel посредством атаки с использованием определенной программы управления активами. Известно, что группа Andariel находится в отношениях сотрудничества с группой Lazarus или является ее дочерней организацией.

Для первичного проникновения группа Andariel обычно проводит атаки типа "spear phishing", "watering hole" или "supply chain". Известен также случай, когда группа использовала решение централизованного управления в процессе установки вредоносного ПО. В последнее время группа Andariel использует уязвимости во многих программах, таких как Log4Shell и Innorix Agent, для атак на объекты в различных корпоративных секторах Южной Кореи. [1]

В недавно выявленной атаке была использована еще одна программа управления активами. Кроме того, в это же время была выявлена атака, направленная на MS-SQL Server. Среди штаммов вредоносного ПО, установленных в ходе этих атак, были не только TigerRat, но и различные другие типы, такие как варианты NukeSped, Black RAT и Lilith RAT, штамм вредоносного ПО с открытым исходным кодом. Целями атак, как выяснилось, были южнокорейские коммуникационные компании и производители полупроводников, как и в предыдущих случаях атак.

Недавно компания AhnLab Smart Defense (ASD) обнаружила в журналах некой южнокорейской программы управления активами информацию об установке вредоносного ПО группы Andariel. Разумеется, только по этим логам нельзя определить, является ли это атакой, использующей уязвимость, или простым эксплойтом. В конечном итоге программа управления активами, запущенная на целевой системе, использовала следующую команду PowerShell для загрузки вредоносного ПО.

Помимо PowerShell, группа Andariel также использовала процесс mshta.exe для загрузки вредоносного ПО. Ниже приведен HTML-вредонос, загруженный на C&C URL, который отвечает за загрузку других штаммов вредоносного ПО от группы Andariel, таких как TigerRat.

В предыдущих случаях атак группа Andariel использовала Innorix Agent и фишинговые атаки. Примечательным фактом последних атак является то, что в некоторых случаях вредоносное ПО устанавливалось с использованием MS-SQL Server. Предполагается, что угрожающий агент атаковал плохо управляемые серверы MS-SQL и устанавливал на них NukeSped. Это предположение основано на том, что такие штаммы вредоносного ПО, как Remcos RAT и Mallox ransomware, также обычно устанавливаются посредством атак на серверы MS-SQL, на которых хранятся учетные данные, уязвимые для атак методом грубой силы или по словарю, а также на том, что существуют логи попыток других угроз установить подобные штаммы вредоносного ПО в систему в прошлом. Таким образом, похоже, что группа Andariel в последнее время также использует в качестве вектора атаки плохо управляемые MS-SQL-серверы.

Как и в других атаках, направленных на MS-SQL Server, PrintSpoofer использовался для повышения привилегий в процессе атаки.

Indicators of Compromise

IPv4 Port Combinations

  • 109.248.150.147:443
  • 109.248.150.147:8080
  • 109.248.150.147:8443
  • 185.29.8.108:3443
  • 185.29.8.108:443
  • 185.29.8.108:4443
  • 185.29.8.108:8080
  • 185.29.8.108:8081
  • 185.29.8.108:8443
  • 27.102.115.207:8088
  • 27.102.118.204:8081
  • 84.38.132.67:8443

URLs

  • http://109.248.150.147:8585/load.html
  • http://109.248.150.147:8585/load.png
  • http://109.248.150.147:8585/view.php
  • http://185.29.8.108:8585/load.html
  • http://185.29.8.108:8585/view.php
  • http://27.102.118.204:6099/fav.ico
  • http://27.102.128.152:8098/load.png
  • http://84.38.132.67:9479/fav.ico
  • http://84.38.132.67:9479/netpass.png

MD5

  • 0414a2ab718d44bf6f7103cff287b312
  • 13b4ce1fc26d400d34ede460a8530d93
  • 232586f8cfe82b80fd0dfa6ed8795c56
  • 33a3da2de78418b89a603e28a1e8852c
  • 3a0c8ae783116c1840740417c4fbe678
  • 3d2ec58f37c8176e0dbcc47ff93e5a76
  • 4053ca3e37ed1f8d37b29eed61c2e729
  • 41895c5416fdc82f7e0babc6bb6c7216
  • 4896da30a745079cd6265b6332886d45
  • 49bb2ad67a8c5dfbfe8db2169e6fa46e
  • 73eb2f4f101aab6158c615094f7a632a
  • 7f33d2d2a2ce9c195202acb59de31eee
  • ad6d4eb34d29e350f96dc8df6d8a092e
  • beb199b15bd075996fa8d6a0ed554ca8
  • c1f266f7ec886278f030e7d7cd4e9131
  • c2f8c9bb7df688d0a7030a96314bb493
  • ca564428a29faf1a613f35d9fa36313f
  • dc70dc9845aa747001ebf2a02467c203
  • e1afd01400ef405e46091e8ef10c721c
  • fe25c192875ec1914b8880ea3896cda2
Комментарии: 0
Похожие записи
0
12 часов
IOC

Remcos RAT IOCs - Part 27

remote access Trojan
Remcos - это вредоносная программа типа RAT, которую злоумышленники используют для удаленного выполнения действий на зараженных машинах. Эта вредоносная программа чрезвычайно активно обновляется: обновления выходят практически каждый месяц.
0
2 дня
IOC

Slow Pisces нацелился на разработчиков с проблемами кодирования и представил новое специализированное вредоносное ПО на Python

security
Slow Pisces - это северокорейская киберпреступная группа, спонсируемая государством КНДР. Они в основном занимаются кражей криптовалюты, нападая на крупные организации в криптовалютном секторе.
0
2 дня
IOC

Новые TTP и кластеры APT, атакующие с использованием нескольких платформ

security
Команда Seqrite Labs сообщает о новых тактиках, применяемых группировкой SideCopy APT, связанной с Пакистаном. Группа расширила свою сферу деятельности, теперь включая организации, входящие в состав министерств