Главная страница » IOC
0
9 месяцев
IOC

Brass Typhoon (APT41) APT IOCs - Part 6

security

В апреле 2024 года специалисты Zscaler ThreatLabz обнаружили новый загрузчик под названием DodgeBox, представляющий собой обновленную и усовершенствованную версию StealthVector, инструмента, ранее использовавшегося китайской APT-группой APT41 (Brass Typhoon).

DodgeBox

После анализа DodgeBox исследователи из Zscaler ThreatLabz пришли к выводу, что эта вредоносная программа является усовершенствованной версией загрузчика StealthVector, поскольку между двумя вредоносными программами есть значительное сходство. Написанный на языке C, DodgeBox представляет собой рефлексивный DLL-загрузчик, обладающий рядом атрибутов, включая возможность расшифровки и загрузки встроенных DLL, выполнения проверок окружения и процедур очистки. Примечательно, что DodgeBox также использует подмену стека вызовов - технику, применяемую вредоносным ПО для маскировки происхождения вызовов API, что затрудняет обнаружение вредоносного ПО решениями Endpoint Detection and Response (EDR) и антивирусными программами. DodgeBox использовался APT41 для доставки бэкдора MoonWalk, нового бэкдора, используемого группой угроз.
DodgeBox и StealthVector имеют общие черты:

  • контрольная сумма и расшифровка конфигурации
  • формат расшифрованной конфигурации
  • ключ окружения
  • стратегия исправления Control Flow Guard (CFG), а также использование DLL hollowing.

Zscaler отмечает, что их уверенность в том, что DodgeBox принадлежит APT41, умеренная, поскольку боковая загрузка DLL - это техника, часто используемая китайскими APT-группами. Кроме того, образцы DodgeBox, загруженные на VirusTotal, происходят из Таиланда и Тайваня, что совпадает с историческими данными о том, что APT41, используя StealthVector, нацеливались на Юго-Восточную Азию.

Indicators of Compromise

MD5

  • 0d068b6d0523f069d1ada59c12891c4a
  • 294cc02db5a122e3a1bc4f07997956da
  • 393065ef9754e3f39b24b2d1051eab61
  • 4141c4b827ff67c180096ff5f2cc1474
  • 72070b165d1f11bd4d009a81bf28a3e5
  • b3067f382d70705d4c8f6977a7d7bee4
  • bc85062de0f70afd44bb072b0b71a8cc
  • bcac2cbda36019776d7861f12d9b59c4
  • d72f202c1d684c9a19f075290a60920f
  • f062183da590aba5e911d2392bc29181
  • f0953ed4a679b987a2da955788737602
Комментарии: 0
Похожие записи
0
2 часа
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.
0
2 дня
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
0
3 дня
Articles

Практические проблемы атрибуции APT в случае с подгруппой Lazarus

security
Lazarus- это название, относящееся не к одной атакующей группе, а к совокупности многих подгрупп. Это название первоначально относилось к деятельности одной группы или группы очень ограниченного размера