Главная страница » IOC
0
5 месяцев
IOC

APT36 и эволюция ElizaRAT

security

APT-36, пакистанский угрожающий агент, активно атакует индийские системы с помощью сложной вредоносной программы, известной как ElizaRAT.

Описание

Это вредоносное ПО, впервые обнаруженное в 2023 году, значительно эволюционировало, используя передовые тактики уклонения и облачную инфраструктуру командования и управления (C2), включая Google Drive, Telegram и Slack. Недавно APT-36 представила новую полезную нагрузку, ApoloStealer, которая предназначена для сбора и утечки конфиденциальных файлов из зараженных систем.

ElizaRAT использует файлы панели управления (CPL), распространяемые с помощью фишинга, для инициирования заражения, а последующая связь C2 часто осуществляется через Slack или другие облачные сервисы. Вредоносная программа регистрирует жертв, сохраняя их ID и системную информацию, и периодически связывается с C2 для получения новых команд. Эти команды могут включать такие задачи, как загрузка файлов, создание скриншотов и сбор системной информации.

ApoloStealer, дополнение к кампании, нацеливается на файлы с определенными расширениями, такими как .pdf, .doc и .jpg, сохраняя метаданные в базе данных SQLite для последующей эксфильтрации. Примечательно, что он также отслеживает внешние накопители, собирая нужные файлы для последующего извлечения. Облачная инфраструктура ElizaRAT и использование распространенных веб-сервисов затрудняют обнаружение, так как она сливается с легитимной сетевой активностью.

В 2024 году APT-36 провела несколько кампаний против высокопоставленных целей в Индии, в каждой из которых демонстрировались технические усовершенствования ElizaRAT. В этих кампаниях использовались различные варианты ElizaRAT и ApoloStealer со сложными техниками, что подчеркивает нацеленность APT-36 на кибершпионаж против индийских организаций.

Indicators of Compromise

IPv4

  • 143.110.179.176
  • 38.54.84.83
  • 64.227.134.248
  • 83.171.248.67
  • 84.247.135.235

MD5

  • 009cb6da5c4426403b82c79adf67021c
  • 0673341ccceeace3f0b268488f05db80
  • 0cd16d0a2768b9ec0d980ccf875b2724
  • 16ea7ce77c875a17049e9607323d1be4
  • 1bac7ea5a9558d937eaf0682523e6a06
  • 2b1101f9078646482eb1ae497d44104c
  • 3a2c701408d94bbcdcf954793f6749bc
  • 47990d1df44767ee3a6c4a6673ee76e9
  • 58643299e340ae7b01efc67ef09ed369
  • 730f708f2788fc83e15e93edd89f8c59
  • 795d1be0915ec60c764b7a7aa6c54334
  • 7ecaa3c5a647d671a9aa4369d4a43b83
  • 8703b910ece27b578f231ce5eb1afd8f
  • ab127d76a40f1cb0cfd81ba1e786d983
  • af2ec3dcfdbb7771b0a7a3d2035e7e99
  • b54512bf0ed75a9f2dee26a4166461a2
  • b9d9e75a2e6b81277f2052a1f0b14e45
  • d3fe72a3b9cb5055662e6a0e19b8f010

SHA1

  • 0c9400e6b8c9244fd187a9f021d0da0b70b6f6fd
  • 0db24c0a4dd12e5fa412434222d81de8e2de4b3c
  • 115e612a4e653cd915d5fc07246a00369fe38cde
  • 1fc28b9e902dd2a8b771b1dc7ec3a62ad04fb02b
  • 2e8139275a48cd048c21e1942b673ae0781dd0b8
  • 43ac372b9cd05eefae3f50a0e487562759f3b0d9
  • 549d80d0d2c3e2cf3ea530f37bfc0b9fe0cbd5f4
  • 6ac91c9e6beeacd74c56dfde9025e54e221b016c
  • 86afc3e8046dfff3ec06bd50ae38f1da7797c3e2
  • 88fd8d71d879257b6cbf2bc12b6493771b26d8a0
  • b09d059e8d6b87f3a6165e4d71901187d0aa99d5
  • b7814d9f6f2096f5a9573ade52547a447eff33bb
  • bc62b98437abd81a1471633afb9cff5dd898cdf8
  • c4c9aaeb74782cd9b5b8701d46e55cf299277215
  • e5377172ee4bae1508405370ee41bee646837c04
  • ee3162e649183490038da015e51750f23ae18d0f
  • f7424286b6b5f8dbad86856ef178745e34c8e83a
  • f98019e637a2ae58d54ff903770b35eefb106432

SHA256

  • 06d9662572a47d31a51adf1e0085278e0233e4299e0d7477e5e4a3a328dea9d1
  • 0a52c0ac04251ac1a8bc193af47f33136ae502b0c237de5236d1136acc3b1140
  • 263f9e965f4f0d042537034e33699cf6d852fb8a52ac320a0e964ce96c48f5e5
  • 2b6a273eae0fb1835393aea6c30521d9bf5e27421c2933bfb3beee8c5b27847e
  • 308c84c68c18af8458ae61afe1f2eec78f229e188724e271bd192a144fd582fc
  • 348c0980c61d7c682cce7521aaad13a20732f7115cb5559729b86ca255f1af7f
  • 60b0b6755cf03ea8f6748a1e8b74a80a3d7637c986df64ee292f5ffefcd610a2
  • 6296fb22d94d1956fda2a6a48b36e37ddd15cf196c434ab409c787bf8aa47ac3
  • 6f839ded49ebf1dad014d79fbab396e2067c487685556a8402f3acdeb1600d98
  • 70bafcf666e8e821212f55ea302285bb860d2b7c18089592a4a093825adbaa71
  • 7e04e62f337c5059757956594b703fc1a995d436c48efa17c45eb0f80af8a890
  • 8d552547fe045f6006f113527eb5dd4a8d5918c989bf11090c7cb44806d595be
  • a7fd97177186aff9f442beb9da6b1ab3aff47e611b94609404e755dd2f97dce8
  • b30a9e31b0897bfe6ab80aebcd0982eecf68e9d3d3353c1e146f72195cef0ef5
  • b41e1d6340388b08694ae649a54fa09372f92f4038fd84259a06716fa706b967
  • b9e10e83a270e1995acaceb88ce684fb97df6156a744565b20b6ec3bc08c2728
  • d66ba4ee97a2f42d85ca383f3f61a2fac4f0b374aad1337f5f29245242f2d990
  • dca78e069bfd9ca4638b4f9cb21dff721530d16924e502c03d8c9aa334b7ca0d
Комментарии: 0
Похожие записи
0
8 часов
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.
0
2 дня
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
0
2 дня
IOC

Salvador Stealer: Новое вредоносное ПО для Android, которое выманивает банковские реквизиты и OTP

Spyware
Вредоносная программа Salvador Stealer, обнаруженная и проанализированная командой any.run, скрывается под видом банковского приложения для Android и предназначена для кражи конфиденциальной информации пользователей.