Cisco Talos обнаружила вредоносную кампанию, направленную на тайваньский исследовательский институт, связанный с правительством, начиная с июля 2023 года.
Кампания, предположительно организованная APT41, отслеживаемая Microsoft как Brass Typhoon, включала использование вредоносного ПО ShadowPad, Cobalt Strike и пользовательских инструментов для действий после компрометации. APT41 использовала устаревший бинарник Microsoft Office IME (CVE-2018-0824) для развертывания ShadowPad и задействовала уязвимость удаленного выполнения кода для повышения привилегий. В августе 2023 года были обнаружены аномальные команды PowerShell, подключающиеся к IP-адресу для загрузки скриптов, что свидетельствует о продолжающихся атаках. Кампания соответствует известным тактикам, методам и процедурам APT41, таким как копьеметание и использование исполняемых файлов Bitdefender для боковой загрузки DLL. Злоумышленники также использовали стеганографию в загрузчиках Cobalt Strike, чтобы избежать обнаружения.
Indicators of Compromise
IPv4
- 103.96.131.84
- 45.85.76.10
- 45.85.76.18
- 58.64.204.145
Domains
- w2.chatgptsfit.com
URLs
- http://103.56.114.69:8085/p.ps1
- http://45.85.76.18:443/yPc1
- https://www.nss.com.tw/1.hta
- https://www.nss.com.tw/calc.exe
- https://www.nss.com.tw/p.ps1
- https://www.nss.com.tw/s.png
SHA256
- 087c475a1b5b36b7939f5ff12dc711ba591dd2c4227ccaa28d322425ef4d0d4c
- 0ff80e4db32d1d45a0c2afdfd7a1be961c0fbd9d43613a22a989f9024cc1b1e9
- 2149d481b863bec2240ffb64c68f7fb437458885c903a7b0c21aa44f88a69d86
- 2e46fcadacfe9e2a63cfc18d95d5870de8b3414462bf14ba9e7c517678f235c9
- 756ceb563d9283df1fd03252aee9e9621cd2cc7ddb45f596e16660fed1dd6442
- 983f4e4be2c2cd36da67723f6e87d86994531bb1ef8e82b3fd3a1c0d6d072a0a
- 9dc827fb1c2e3c12ee39aa5ccf3b31f64051e0cdda9d2ac54caee6b235f52640
- abb2fe1f67a48b931258e47531884ca5502cec73996e686ca82eeba536258f67
- be7e1f1216ff707ad07d11e5d180fa1cbfba62f2e2414a20d827366bcc6be3c4
- eba3138d0f3d2385b55b08d8886b1018834d194440691d33d612402ba8a11d28