Главная страница » IOC
0
4 месяца
IOC

Contagious Interview APT IOCs

security

Contagious Interview - это постоянная атакующая кампания, связанная с Северной Кореей, отчет о которой был опубликован компанией Palo Alto Networks в ноябре 2023 года. В отличие от типичных целевых атак, спонсируемых государством, Contagious Interview периодически наблюдались SOC, и организациям в Японии также следует обратить на них внимание.

Contagious Interview APT

С ноября 2024 года SOC обнаружил, что в кампаниях Contagious Interview используются не только BeaverTail и InvisibleFerret, но и другие вредоносные программы. Один из новых замеченных зловредов называется OtterCookie, и в статье представлен процесс его выполнения и подробное поведение.

Векторы атак Contagious Interview различны, но большинство из них затрагивают проекты Node.js и пакеты npm, загружаемые с GitHub и Bitbucket. В последнее время в качестве точек входа также используются файлы приложений, использующие Qt или Electron, что свидетельствует о том, что злоумышленники активно пробуют различные методы.

Загрузчики, выполняющие OtterCookie, были описаны в многочисленных отчетах. Они удаленно загружают JSON-данные и выполняют свойства cookie в виде JavaScript-кода. В основном OtterCookie выполняется загрузчиком, используемым для BeaverTail, но в редких случаях OtterCookie и BeaverTail выполнялись одновременно.

OtterCookie, наблюдаемый с ноября 2024 года, подключается к удаленному компьютеру с помощью Socket.IO, получает команды через функцию socketServer и подтверждает функции для выполнения команд оболочки (command) и кражи терминальной информации (whour). Команды передаются в функцию socketServer.

В сентябре 2024 года уже была реализована функциональность OtterCookie для кражи ключей кошельков криптоактивов. Например, функция checkForSensitiveData использует регулярные выражения для проверки секретных ключей Ethereum. Эти функции были реализованы с помощью удаленных команд оболочки в ноябрьском OtterCookie.

В заключение следует отметить, что OtterCookie - это новая вредоносная программа, используемая в кампании Contagious Interview, которая продолжает активно обновлять свои методы атак методом проб и ошибок. Эти атаки были замечены и в Японии, поэтому следует проявлять осторожность.

Indicators of Compromise

IPv4

  • 45.159.248.55

Domains

  • payloadrpc.com
  • w3capi.marketing
  • zkservice.cloud

SHA256

  • 32257fb11cc33e794fdfd0f952158a84b4475d46f531d4bee06746d15caf8236
  • 4e0034e2bd5a30db795b73991ab659bda6781af2a52297ad61cae8e14bf05f79
  • 7846a0a0aa90871f0503c430cc03488194ea7840196b3f7c9404e0a536dbb15e
  • d19ac8533ab14d97f4150973ffa810e987dea853bb85edffb7c2fcef13ad2106
Комментарии: 0
Похожие записи
0
5 дней
IOC

APT-группа ToddyCat использует уязвимость в ESET для проксирования DLL-файлов

security
Группы APT используют различные методы обхода защитных систем, чтобы скрыть свою деятельность в зараженных системах. Одним из таких методов является использование руткитов на уровне ядра в системах Windows.
0
5 дней
IOC

Lazarus расширяет вредоносную кампанию npm: 11 новых пакетов добавляют загрузчики вредоносного ПО и полезную нагрузку Bitbucket

security
Группа злоумышленников Contagious Interview, предположительно связанная с Северной Кореей и известная как Lazarus Group, продолжает свою вредоносную кампанию, расширяя свое присутствие в экосистеме npm.
0
9 дней
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.
0
11 дней
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.