Главная страница » IOC
0
10 месяцев
IOC

Carbon Spider (FIN7) APT IOCs - Part 5

security

Одна из последних угроз, обнаруженных TRU, связана с группой угроз FIN7. Злоумышленники использовали вредоносные веб-сайты, чтобы маскировать себя под известные бренды, такие как AnyDesk, WinSCP, BlackRock и другие. Пользователи, переходя на эти сайты, получали вредоносную полезную нагрузку через файлы-установщики MSIX.

Carbon Spider (FIN7) APT

В одном случае злоумышленники использовали рекламу Google Ads, чтобы перенаправить пользователей на вредоносные сайты, где они предлагали загрузить поддельное расширение для браузера. Внутри этого расширения скрывался вредоносный сценарий PowerShell, который собирал информацию о системе и загружал скрипт с сервера C2. В результате этих действий был установлен NetSupport RAT.

Во втором случае злоумышленники использовали поддельный установщик MSIX, чтобы загрузить вредоносную полезную нагрузку на машины пользователей. Злоумышленники использовали инструмент командной строки csvde.exe для экспорта данных Active Directory и загрузили архив NetSupport через другую команду curl. Таким образом, они получили доступ к машине пользователя через NetSupport RAT.

Indicators of Compromise

IPv4

  • 109.107.170.126
  • 185.174.102.62
  • 193.233.206.23
  • 5.8.63.140

IPv4 Port Combinations

  • 193.124.24.51:443
  • 38.135.52.151:273

Domains

  • 7-zip.cfd
  • advanced-ip-scanner.link
  • advancedipscannerapp.com
  • aimp.day
  • asana.pm
  • asana.tel
  • asana.wf
  • autodesk.pm
  • blackrock.re
  • blackrock.wf
  • cdn1124.net
  • cdn1701.com
  • cdn25.space
  • cdn27.space
  • cdn30.space
  • cdn31.space
  • cdn32.space
  • cdn33.space
  • cdn34.space
  • cdn35.space
  • cdn36.space
  • cdn37.space
  • cdn38.space
  • cdn40.click
  • cdn41.space
  • cdn42.space
  • cdn43.space
  • cdn45.space
  • cdn46.space
  • concur.pm
  • concur.re
  • concur.skin
  • eprst431.boo
  • investing.wf
  • lexisnexis.day
  • meet-go.click
  • pgadmin.link
  • quicken-install.com
  • sapconcur.pro
  • vkontakte.in
  • wall-street-journal.link
  • webex-install.com
  • winscp-install.com
  • workable.uk.com
  • workday.pm
  • wsj.pm
  • wsj.re
  • wsj.wales
  • wsj.wf
  • www.any-connectcisco.com

MD5

  • 0740803404a58d9c1c1f4bd9edaf4186
  • 782621d1062a8fc7d626ceb68af314e5
  • b6f12d39edbfe3b33952be4329064b35
  • bb0a503a83b1f9833c3d3d08784b78a8
  • e7b1fb0ef5dd20f4522945b902803f10
Комментарии: 0
Похожие записи
0
23 минуты
IOC

Члены Black Basta (RaaS) использовали автоматизированную систему грубого форсирования, чтобы атаковать пограничные сетевые устройства

security
11 февраля 2025 года русскоязычный актер, использующий Telegram-аккаунт @ExploitWhispers, опубликовал в сети журналы внутренних чатов группы Black Basta Ransomware-as-a-Service (RaaS).
0
37 минут
IOC

INDOHAXSEC APT IOCs

security
INDOHAXSEC - новый индонезийский хакерский коллектив, обнаруженный компанией Arctic Wolf Labs. Они активно проводили кибератаки на малазийских чиновников, используя методы распределенного отказа в обслуживании (DDoS) и выкупного ПО.
0
39 минут
IOC

Head Mare и Twelve объединяют усилия для атаки на российские организации

security
В сентябре 2024 года российские компании стали объектами серии атак, которые обнаружили признаки компрометации, связанные с двумя хактивистскими группами - Head Mare и Twelve.