Главная страница » IOC
0
19 часов
IOC

Blind Eagle APT IOCs

security

Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.

Blind Eagle APT

Уязвимость раскрывает хэш NTLMv2 пользователя и может позволить злоумышленнику аутентифицироваться как пользователь. Хотя вредоносный файл Blind Eagle не использует эту уязвимость напрямую, он запускает WebDAV-запрос, который помещает злоумышленников в курс того, что файл был загружен. После того, как пользователь нажимает на файл, происходит загрузка и запуск вредоносного ПО. Эти кампании получили название OPFail и были направлены на судебные учреждения и другие организации в Колумбии.

Blind Eagle также использовала легальные файлообменные платформы, такие как Google Drive, Dropbox, Bitbucket и GitHub, для распространения своего вредоносного ПО. Группа использует известные в подпольных сообществах вредоносные программы и инструменты, такие как HeartCrypt, .NET RAT и Remcos RAT. Исследователи заключили, что группа, вероятно, базируется в Южной Америке, так как их активность соответствует часовому поясу UTC-5, часовому поясу нескольких стран этого региона.

Blind Eagle проявляет также активность в фишинговых кампаниях, в которых они выдают себя за колумбийские банки и собирают персональную информацию более 8 000 пользователей. Группа международного масштаба и по-прежнему представляет значительную угрозу для колумбийских организаций и инфраструктуры.

Indicators of Compromise

Domains

  • republicadominica2025.ip-ddns.com

Domain Port Combinations

  • elyeso.ip-ddns.com:30204

URLs

  • 62.60.226.64/file/1374_2790.exe
  • 62.60.226.64/file/3819_5987.exe
  • 62.60.226.64/file/4025_3980.exe
  • 62.60.226.64/file/9451_1380.exe
  • drive.usercontent.google.com/download?id=1CZcgN1kxz9kSNgscR9qgiOAERo-w-rTa&export=download
  • drive.usercontent.google.com/download?id=1PZ2Ndi-GT-oQHlobFIdDJoSDSXkJvECV&export=download
  • drive.usercontent.google.com/download?id=1R9MR64hy-dQelTZMPtsrSXLWObFt7mf2&export=download
  • raw.githubusercontent.com/Oscarito20222/file/refs/heads/main/redtube.exe

SHA1

  • 07647f0eddf46d19e0864624b22236b2cdf561a1
  • 08daf84d9c2e9c51f64e076e7611601c29f68e90
  • 133bc4304057317b0b93f5ff44f20d153b985b50
  • 1d1e007a9d8939bee7a0333522cc4f7480d448cc
  • 1fcc44d3b20381acce66f5634743917e8f22dae7
  • 33ddaedc98991435f740f7a5a8a931a8cadd5391
  • 758c73ab9706ae6977f9b4601c20b3667836d3ef
  • 83c851f265f6d7dc9436890009822f0c2d4ba50a
  • a0338654304b6f824bdc39bbb482a0e114f8a3a1
Комментарии: 0
Похожие записи
0
20 часов
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает
0
5 дней
IOC

EncryptHub APT IOCs

security
EncryptHub, ведущая киберпреступная организация, привлекла внимание команд по анализу угроз своей сложной кампанией по созданию вредоносного ПО. Расследование раскрыло ранее неизвестные аспекты их инфраструктуры, инструментария и моделей поведения.