Confucius, известная также под названиями Moloch Soa и APT59, - организация, занимающаяся перспективными постоянными угрозами (Advanced Persistent Threat, APT), которая впервые проявила активность в 2013 году и проводила кампании атак против государственных учреждений, военнослужащих и ядерных институтов в Пакистане и других странах Южной
В 2021 году компания Lookout раскрыла информацию о том, что эта группа разработала вредоносные программы для Android под названием SunBird и Hornbill на основе коммерческих программ-шпионов BuzzOut и MobileSpy соответственно, которые использовались для кражи данных с устройств и извлечения контента из зашифрованных приложений для обмена сообщениями (например, WhatsApp).
Недавно команда Anthem Threat Intelligence обнаружила несколько образцов, принадлежащих APT-организации Confucius, которые по структуре кода и вредоносной функциональности относятся к серии вредоносных полезных нагрузок SunBird, раскрытых Lookout 2021.
Данная группа образцов ВПО имитирует фреймворк обновлений Google, а вредоносное поведение включает в себя: кражу фотографий пользователей, SMS, адресной книги и записей различных социальных чатов. Было обнаружено, что на одном ip размещалось несколько серверов, и в одной партии распространялось несколько вредоносных полезных нагрузок. По времени входа в журналы серверов c2, использовавшихся злоумышленниками, можно предположить, что атакующая кампания началась еще в мае 2023 года. Было найдено более 50 данных жертв, среди которых предположительно были государственные и военные служащие, а основными жертвами стали Кашмир и другие регионы Индии.
Indicators of Compromise
IPv4
- 149.102.225.98
- 23.81.246.170
URLs
- http://23.81.246.170/doodle14
MD5
- 5e49d76efd28bc077d7814ce4dbc4ac9
- 81b17ece3922a415b5a8e96009f4ba06
