Главная страница » IOC
0
3 месяца
IOC

Andariel APT IOCs - Part 7

security

Группа Andariel продолжает атаковать различные программные продукты, используемые южнокорейскими компаниями. Основная цель атак - решения для управления активами и предотвращения потери данных (DLP). Были также выявлены случаи атак на уязвимости в других решениях. Вторая половина 2024 года ожидается продолжение атак, в которых будет использоваться SmallTiger.

Andariel APT

Атаки на решения для управления активами обычно начинаются с взлома сервера управления, после чего злоумышленники используют его для установки вредоносных программ, в основном, ModeLoader. В одном случае атаки были проведены путем грубой силы и атаки по словарю на серверы обновлений, где злоумышленник заменил программу обновления на SmallTiger. В недавнем случае метод атаки не был определен, но SmallTiger был установлен в решения для управления активами, вместе с которым был использован кейлоггер для записи нажатий клавиш пользователя.

Злоумышленники настроили систему на предоставление RDP-доступа с помощью SmallTiger и установили инструмент CreateHiddenAccount для добавления скрытой учетной записи бэкдора. Также отмечается атаки на решения для управления документами, где используются устаревшие версии веб-серверов Apache Tomcat. После получения доступа злоумышленники обнаруживают установку Advanced Port Scanner и запрашивают информацию о системе.

В дальнейшем они планируют установить веб-оболочку с помощью команды PowerShell. Сервер загрузки, идентифицированный как адрес C&C-сервера SmallTiger, используется для загрузки файлов на скомпрометированные системы.

Таким образом, группа Andariel продолжает проводить атаки на различные программные продукты в Южной Корее, прежде всего на решения для управления активами и предотвращения потери данных. Вторая половина 2024 года представляет угрозу продолжения этих атак, где основным инструментом будет использоваться SmallTiger. Большинство атак проводятся путем взлома серверов и установки вредоносных программ, однако некоторые атаки осуществляются путем замены программ обновления или использования устаревших версий веб-серверов. Злоумышленники также используют кейлоггеры для записи нажатий клавиш пользователя и различные инструменты для получения дополнительного доступа к компрометированным системам.

Indicators of Compromise

IPv4

  • 45.61.148.153

URLs

  • http://45.61.148.153/pizza.jsp

MD5

  • 3525a8a16ce8988885d435133b3e85d8
  • 45ef2e621f4c530437e186914c7a9c62
  • 6a58b52b184715583cda792b56a0a1ed
  • b500a8ffd4907a1dfda985683f1de1df
Комментарии: 0
Похожие записи
0
7 часов
IOC

BeaverTail и Tropidoor распространялись через рекрутинговые письма

security
В ноябре 2024 года был раскрыт случай распространения вредоносных программ BeaverTail и Tropidoor через рекрутинговые электронные письма, где злоумышленники выдавали себя за рекрутеров из сообщества разработчиков Dev.
0
7 часов
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.
0
2 дня
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.