Главная страница » Индикаторы компрометации
0
11 месяцев
Индикаторы компрометации

China-nexus (APT40) APT IOCs

security

В конце 2023 года компания Sygnia обнаружила кибератаку, в ходе которой злоумышленник Velvet Ant получил доступ к сети организации. Атака продолжалась несколько лет, в течение которых злоумышленник использовал различные инструменты и техники для проникновения в системы и получения конфиденциальных данных. Sygnia предприняла меры по обнаружению и устранению угрозы, но злоумышленник снова и снова появлялся в сети, используя спящие механизмы сохранения в неконтролируемых системах.

Один из таких механизмов включал использование устаревших серверов и непропатченных сетевых устройств. Одним из методов, использованных злоумышленником Velvet Ant, был захват потока выполнения, в том числе через загрузку фантомных DLL и боковую загрузку DLL.

Sygnia провела расследование и определила масштаб компрометации, разработав план устранения последствий. В ходе реализации плана были предприняты меры по ликвидации угрозы, исправлению уязвимостей и повышению видимости. Однако злоумышленник сосредоточил свои усилия на устаревших операционных системах, которые не были защищены продуктом Endpoint Detection and Response (EDR) организации. Используя троян PlugX, злоумышленник снова начал свои атаки, взламывая системы Windows Server 2003.

PlugX - это инструмент, используемый китайскими группировками для удаленного доступа к зараженным системам. Он имеет модульную систему плагинов, которая предоставляет злоумышленникам дополнительные возможности. В данном случае цепочка выполнения PlugX состояла из трех файлов: 'iviewers.exe', 'iviewers.dll' и 'iviewers.dll.ui'. Злоумышленник использует легитимное приложение "OLE/COM Object Viewer" для загрузки и выполнения вредоносной полезной нагрузки.

При расследовании Sygnia получила дампы памяти процессов 'Svchost', которые оказались полезными для отслеживания действий злоумышленника. В дампах памяти обнаружены учетные данные и команды, используемые злоумышленником.

Indicators of Compromise

IPv4

  • 103.138.13.31
  • 202.61.136.158

MD5

  • 0b0b592ec201605503b4a245f024b37c
  • 0d5abbe83e5eeb2cb79630caba3a33c7
  • 113779c96c005ac50729462ec1b81f96
  • 2666a1f1f38ba3bd261c908f14d588c7
  • 3e32bcdc16db8baf98065b29faeaa18d
  • 4cdeffe8c379e6b702f2d22160c59ccf
  • 52692f03f7c14bc6a6bd35679beb7fab
  • 5312ba28ce0105cf4563279508bf83fa
  • 654349edf1ac14dabce9bec435f06f98
  • 7266fb2e71fc97036ad642fb592d3444
  • 74a6c8bb6fb08c68d0ff4a6efad64242
  • 805fa6261f5fb268e56fd9f11fd13e01
  • 9003d7c01c4f2b2e2632a86815eb40a2
  • 977a7e48f8b05c12249a28dbc4054d78
  • 9f128f604a3e57a92381457e6552f886
  • ababde83c740651f014d9671d4dab557
  • ad2d2126fe198b35a657804c7cbbf84f
  • ad9267c5c64390d1ed2d6cfa498b5339
  • b9a46c2960ddbece1a5fc4db1a810d92
  • c5a873b83798a7ad21990eff4c90cb98
  • c5af1894f9806fafc6eae449a4021362
  • cefbb71fd132df7fb913ec747080da7c
  • d1e6767900c85535f300e08d76aac9ab
  • d313dd345d5ea37bc1c431a53d1af91d
  • d8958e44fa0499a5fbde99b71207184b
  • d8a1805843925a0394d64d1574b15388
  • dacfc13d17cda55e58fab7d66d5417d1
  • f0293d80323383dcb494b12ceb313105
  • f26edb1d8a61d6bee6da5b5214cce77e

SHA1

  • 0667f44b8dc20d0d1b8f1a5c2fe2f8011204664b
  • 0b400eb4451c3148fa48bc72cb8a84fdcf4461d3
  • 0e7c4f374009ff3e264d299dfc1c279bff5b6b4b
  • 1f2e03650afbbd10b9cff21116b7b8d9b192cee3
  • 1fc7b986e55f116d92e77e3b2bee86b720ffa155
  • 291bcceef6e03a9f4f0c524f1dd3a4b77d870cd8
  • 2b3b897dd7ef6a54bc038a9afc9d79d5989b6c5f
  • 2c5d678948938de4d10095db35390c064305413c
  • 35e0cbec56e6ad052c3cf53a052b254490995453
  • 37d3665d3b803eeddfad245c0e96172b9c3e8a29
  • 3a5ea30f0ff6928a26c4e67352d0adf44dd978da
  • 3faf065a9987ade102f20dd1ac6b857c7c191b97
  • 44e2b73f6f5ec010681cb1fa5681ca0903f0a080
  • 49d2e3dfabd21ed4a11c6fca6236ced7b17fa97e
  • 4a0f328e7672ee7ba83f265d48a6077a0c9068d4
  • 553674972e59e7b37a63d19556152b13bf785d71
  • 6003f8042d375ec5c6d56a1d6e363e2d2cc9eb67
  • 61a382b2139512f8c816ceae93ec823c88bd6eed
  • 7dc223a47fa35011d9e5ed8ef0bbeaf7bd08500f
  • 86a219232410f236665c51854425fbe5e37b07b3
  • 8e722b2c6b114b69bd71c37759dc3410a32b7594
  • baaa29799bdbb6c1f3fc70e25c0aee4b033fefc8
  • ca7331e0c8dda90054eb941a2fdd0cc943a04fc4
  • d80427c922db5fcd8cf490a028915485ff833666
  • ddb59cf25b40273ef0f394c6f164923b6872d7cf
  • e6bd682c47f1a9d564f45a54427100b42e19d2e9
  • ef22dfed358bf35f702af4a14f7a646375123e05
  • f07272762b322cea1d8cc0845718371f1af0bd4a
  • fc06519154e3a4b28fe16606dec05ec02dd2f647

SHA256

  • 0acc25396ef78c00631c64df538678a323982115bafbfa7487a4370d4b4129ac
  • 13f3c05cc348ecb47c4e86d1fb522fdf499a6fb23e0cc6370f4618137f055b04
  • 3a6a5b1d76dfcac5920e6e9163c08543304ba013425eb2c2e64071b15d26996e
  • 3d9aaac0a8e5c7eadd79d8d5c16119d04f4e9db7107fc44a1e32a8746a1ec375
  • 436f35dc69bbe7cb8cf5430b52c3aedace099730245de57e004dc1f6531ae262
  • 4965f809b71ffb71fe8456d88dcd0a80a99fa6aa4ffd6ba96e1a1d810d41bbd0
  • 527df166af23cd0d139ebad9d219f125137b5a7b619fa50e5e245ccaf8c0b7d6
  • 55d6c4a95b5172ea47381ab66ea9ea37fa0afb53b9bb10a1d752ac4acc8f6cd4
  • 562974ea1325a88c916a55719fb9263eb6c710ba281fdee4ba7e9a98a3f4a5a8
  • 75fa71e65344b61a80f0e598349b735912be39d04a7e2159748423bd860d3454
  • 7c9336afd7530576b6a0f2e978b36955e8f264fee429d810309ce157a4918aaa
  • 7e118a6c4d6f162d8c6a53faf972bd3e675da7f9d0a0b67a1988b4e2102ebb53
  • 821d0cdc3e8a735976045ecb1afd1c0170bf39701d2da118b9533a45383a9ebe
  • 859c823eb3e7420e0db234ba224764faa62d391bddd25e9ad415b11d853741f9
  • 9092cdd52109531f9f58c28bda25b0c3f82d9bd2d261ce5fcb0137873dbb0868
  • 91f6547bceddfb2f241570ac82c00de700e311e4a38dea60d8619638f1ed3520
  • 92b2535373e55b16b6f3b2d134a1d5545e837d3c19fff4cead4e92558e302b6e
  • 9a7a24b1c785b3c7c39f7e33e99897290165693dea1f46ed4f3c7919aef93928
  • 9b9d2da73b510276d38d1698f3b87671958e338b40230e6a004ccaf3dcceb03b
  • a9556cc05422cae960e36f76eeff7168b8e3cfeb16a20855a93d4f2ed4a65a8b
  • b4d71b0ac0bc1495789501f9afce6f950b601a36c0836534294640f2db6b2f40
  • b5aa86fd97624a317945d110541a07fc80b83dd960fbf16642720fc275d8f04f
  • bcbc3184756a6cacfd5ca2b879708cfd015e84050c9b9ede096cfb70282f870c
  • bdf8a8c7f0298484dc95895dbddf367689ca361618453597129343838b94debb
  • be852d7a59ba168d93eb975fbed652617046433e6fdc177d0087331f9a095f02
  • c456747731141c2ea0f8e69f89193e8bb823da4667527fe90b614b97f1d425ae
  • cc48a02f06066a37c90d063b6d28ae17d9503e4ba6df69aef1b55b5fa5a5ff48
  • d663b323d132a3c811bb53a48a686ea85c6bf8faeef3b48dfa93528be8f4133b
  • febe116a87860e42bbcfd7c6e2c710446f33bdacc56e990f69493837c01f1059
Комментарии: 0
Похожие записи
0
1 час
Индикаторы компрометации

Группировка Larva-25004, связанная с северокорейскими хакерами Kimsuky, использует поддельные сертификаты для распространения вредоносного ПО

security
Специалисты AhnLab Security Intelligence Center (ASEC) обнаружили новую киберкампанию, в которой злоумышленники применяют цифровой сертификат компании Nexaweb Inc.
0
1 день
Индикаторы компрометации

Российская хакерская группа TAG-110 атакует Таджикистан через вредоносные документы Word

security
Специалисты Insikt Group обнаружили новую фишинговую кампанию против государственных структур Таджикистана, проводимую Российской хакерской группой TAG-110. Атаки происходили в январе-феврале 2025 года с использованием новых тактик.
0
1 день
Индикаторы компрометации

Китайские хакеры атакуют системы управления инфраструктурой через уязвимость в Cityworks

security
Эксперты Cisco Talos зафиксировали серию целенаправленных атак на систему управления активами Cityworks, принадлежащую компании Trimble. Злоумышленники, предположительно связанные с китайской хакерской
0
1 день
Индикаторы компрометации

Киберпреступники создают масштабную сеть из скомпрометированных устройств для перехвата данных

security
Эксперты компании Sekoia.io обнаружили активность хакерской группы ViciousTrap, которая превратила более 5500 сетевых устройств в распределённую сеть перехвата трафика.