Главная страница » IOC
0
4 месяца
IOC

Andromeda Malware IOCs

security

Команда Cybereason Security Services Team обнаружила новый кластер командно-контрольных (C2) серверов, связанных с вредоносным ПО Andromeda/Gamarue, которое нацелено на производственные и логистические компании в Азиатско-Тихоокеанском регионе, подозреваемые в промышленном шпионаже.

Andromeda Malware

Первоначальный вектор заражения осуществлялся через зараженные USB-накопители, которые автоматически выполняли вредоносные файлы при подключении к машине, используя файл rundll32.exe для загрузки DLL и выполняя вредоносную DLL через известный LNK-файл. Вредоносная программа устанавливала C2-связь, передавала файл trustedinstaller.exe, содержащий пакетные файлы, и внедряла настоящий троян-бэкдор в легитимные процессы Windows, такие как svchost.exe, для обеспечения их устойчивости.

Исследователи Cybereason отмечают, что злоумышленник Turla (Secret Blizzard), ранее был идентифицирован как повторно использующий старый образец Andromeda, распространяющийся через эти зараженные USB-носители. Кроме того, вредоносный домен, связанный с серверами C2 в этой кампании, был зарегистрирован в сертификате TLS под общим именем *.malware.com и был связан с Turla в Open Threat Exchange компании AlienVault и в исследованиях Mandiant.

Turla Team IOCs

Indicators of Compromise

Domains

  • deltaheavy.ru

SHA1

  • 2620d60d8283936d6671713477cdd9ae2e28eb1b
  • 274c2facba9d04e1f3cbf31528af0ac162da5db7
  • 3a96e920f70f252cba1f5e43ea386aec0d1fb704
  • 4dec324ebeef3a9aef57cc71c6b1b5e530412a4e
  • 4fc5f6704008898447313ccde4f8ede7de91078d
  • 6dc84c457ea8f5ff29fbd1c6c968e3ffa53f7870
  • 72bc039f1d37b610ba6c4b577dbe82feba37e813
  • 76e3fd90eae759db964fc5af6d1a31e74bd6d9b4
  • 8d3f65f067fe1fc090174dcac53eb9c0fb46edc6
  • 951206a961f3c679c8e32dbbcec66ed75ca9f117
  • b0fb70192b26c18858893f09e9d75d2e52f3f475
  • c20c26d9f4f9bff3cf4c29b5c1c30252d938eddb
  • c2122c796f1afdf94f3aeaa539fdd2d30807c555
  • cae4e8c730de5a01d30aabeb3e5cb2136090ed8d
  • d36e846202330271d43c425fb4674e71720dfd47
  • e4fcf9c1ee2dcc115f5fc8f074fa56ffd484aac9
  • ef275035b54da5edff5b7f802135f2ff0c687fff
  • f521451fd6083aa2a91c32091da1908eb8c86866
Комментарии: 0
Похожие записи
0
3 месяца
IOC

StealBit Stealer IOCs

Spyware
Центр глобальных операций безопасности Cybereason (GSOC) проанализировал StealBit, инструмент для эксфильтрации данных, разработанный группой разработчиков вымогательского ПО LockBit.
0
5 месяцев
IOC

Beast Ransomware IOCs

ransomware
Исследователи из Cybereason Security Services Team раскрыли работу программы Beast Ransomware-as-a-Service (RaaS), которая с 2022 года атакует системы Windows, Linux и ESXi.