Главная страница » IOC
0
8 месяцев
IOC

Bloody Wolf APT IOCs

security

С конца 2023 года специалисты BI.ZONE Threat Intelligence отслеживают действия группы Bloody Wolf, нацеленные на организации в Казахстане с помощью вредоносного ПО STRRAT, также известного как Strigoi Master.


Злоумышленники рассылают фишинговые письма, выдавая себя за Министерство финансов и другие ведомства, с вложениями в формате PDF, содержащими ссылки на вредоносное ПО и руководство по установке интерпретатора Java. Использование JAR-файлов помогает обойти защиту, а легитимные веб-сервисы, такие как Pastebin, используются для связи, обходя меры сетевой безопасности. После установки вредоносная программа загружает зависимые компоненты, включая библиотеки кейлоггеров, и копирует себя в каталог AppData пользователя. Он устанавливает постоянство с помощью запланированных задач и записей в реестре, а затем подключается к серверам C2 с помощью URL-адресов Pastebin. STRRAT собирает системную информацию, выполняет различные команды с C2-сервера и осуществляет эксфильтрацию данных с помощью таких инструментов, как Lumma Stealer.

Возможности вредоносной программы включают перехват нажатия клавиш, удаленное управление файлами и контроль браузера, что делает ее мощной угрозой для взломанных систем.

Indicators of Compromise

IPv4

  • 185.196.10.116
  • 91.92.240.188

URLs

  • https://pastebin.com/raw/67b8GSUQ:13671
  • https://pastebin.com/raw/67b8GSUQ:13672
  • https://pastebin.com/raw/8umPhg86:13771
  • https://pastebin.com/raw/8umPhg86:13772
  • https://pastebin.com/raw/dFKy3ZDm:13570
  • https://pastebin.com/raw/dLzt4tRB:10101
  • https://pastebin.com/raw/dLzt4tRB:13569
  • https://pastebin.com/raw/dLzt4tRB:13880
  • https://pastebin.com/raw/YZLySxsv:13881
  • https://pastebin.com/raw/YZLySxsv:20202

SHA256

  • 00172976ee3057dd6555734af28759add7daea55047eb6f627e5491701c3ec83
  • 14ec3d03602467f8ad2e26eef7ce950f67826d23fedb16f30d5cf9c99dfeb058
  • 25c622e702b68fd561db1aec392ac01742e757724dd5276b348c11b6c5e23e59
  • a6fb286732466178768b494103e59a9e143d77d49445a876ebd3a40904e2f0b0
  • cb55cf3e486f3cbe3756b9b3abf1673099384a64127c99d9065aa26433281167
  • e35370cb7c8691b5fdd9f57f3f462807b40b067e305ce30eabc16e0642eca06b
  • ee113a592431014f44547b144934a470a1f7ab4abec70ba1052a4feb3d15d5c6
Комментарии: 0
Похожие записи
0
1 день
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.
0
3 дня
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
0
4 дня
Articles

Практические проблемы атрибуции APT в случае с подгруппой Lazarus

security
Lazarus- это название, относящееся не к одной атакующей группе, а к совокупности многих подгрупп. Это название первоначально относилось к деятельности одной группы или группы очень ограниченного размера