Компания SentinelLabs выявила предполагаемые китайские вредоносные программы и инфраструктуру, которые могут быть задействованы в связанных с Китаем операциях, направленных на игорный сектор в Юго-Восточной Азии. Для установки маяков Cobalt Strike угрожающие лица используют исполняемые файлы Adobe Creative Cloud, Microsoft Edge и McAfee VirusScan, уязвимые к перехвату DLL.
Специалисты SentinelLabs заметили, что связанные с ними вредоносные программы используют сигнатуру, вероятно, украденного сертификата подписи кода, выданного PMG PTE LTD, сингапурскому поставщику услуг Ivacy VPN.
Indicators of Compromise
IPv4
- 47.242.72.118
- 8.218.31.103
Domains
- 100helpchat.com
- live100heip.com
URLs
- https://agenfile.oss-ap-southeast-1.aliyuncs.com/agent_source/temp1/cefhelper.zip
- https://agenfile.oss-ap-southeast-1.aliyuncs.com/agent_source/temp2/agent_bak.zip
- https://agenfile.oss-ap-southeast-1.aliyuncs.com/agent_source/temp3/adobe_helper.zip
- https://codewavehub.oss-ap-southeast-1.aliyuncs.com/org/com/file/CodeVerse.zip
SHA1
- 09f82b963129bbcc6d784308f0d39d8c6b09b293
- 1a11aa4bd3f2317993cfe6d652fbe5ab652db151
- 57bbc5fcfd97d25edb9cce7e3dc9180ee0df7111
- 6e9592920cdce90a7c03155ef8b113911c20bb3a
- 76bf5ab6676a1e01727a069cc00f228f0558f842
- 88c353e12bd23437681c79f31310177fd476a846
- 957e313abaf540398af47af367a267202a900007
