Главная страница » IOC
0
7 месяцев
IOC

DragonRank Campaign IOCs

security

Компания Cisco Talos обнаружила новую кампанию киберугроз под названием «DragonRank», которая направлена в первую очередь на страны Азии и некоторые страны Европы.

DragonRank Campaign

По оценке Talos, группа DragonRank связана с китайскими актерами, говорящими на упрощенном китайском языке, и нацелена на серверы Windows Internet Information Services (IIS), на которых размещены корпоративные веб-сайты. Их главная цель - внедрить вредоносное ПО BadIIS, которое манипулирует поисковыми машинами, нарушая поисковую оптимизацию (SEO) и перенаправляя трафик на мошеннические сайты. Тактика DragonRank включает в себя взлом IIS-серверов, чтобы превратить их в платформы для мошеннической деятельности, в частности, для сайтов, содержащих ключевые слова, связанные с порнографией и сексом, которые переводятся на множество языков.

Группа активно занимается «черной шляпой» SEO, манипулируя алгоритмами поисковых систем, чтобы повысить видимость мошеннического контента, навредить конкурентам или обмануть пользователей. Это может нанести ущерб репутации компании в Интернете и привести к финансовым потерям. В отличие от типичных групп «черной шляпы» SEO, которые взламывают как можно больше сайтов, DragonRank фокусируется на латеральном перемещении в сети, повышая привилегии, чтобы проникнуть и контролировать больше серверов.
DragonRank использует уязвимости в таких веб-приложениях, как phpMyAdmin и WordPress, чтобы получить первоначальный доступ, развернуть веб-оболочки (например, ASPXspy) и получить контроль над серверами. Эти веб-оболочки позволяют собирать системную информацию, развертывать вредоносные программы, такие как PlugX и BadIIS, и использовать инструменты для сбора учетных данных (например, Mimikatz и BadPotato).

Далее группа компрометирует дополнительные серверы Windows IIS с помощью веб-оболочек или протокола удаленного рабочего стола (RDP) с украденными учетными данными. Они используют эти взломанные серверы для установки большего количества вредоносного ПО, сохранения устойчивости и клонирования пользовательских привилегий, чтобы оставаться незаметными. По оценке Talos, подход DragonRank представляет собой смесь целевых атак и методов тестирования на проникновение, что говорит о том, что они являются относительно новичками в области черной шляпы SEO, но имеют опыт кибервзломов.

Indicators of Compromise

URLs

  • http://a.googie.pw/xx1.php
  • http://a.googie.pw/zz1.php
  • http://b.googie.pw/xx1.php
  • http://b.googie.pw/zz1.php
  • http://web.googie.pw/xx1.php
  • http://web.googie.pw/zz1.php
  • http://www.googie.pw/xx1.php
  • http://www.googie.pw/zz1.php
  • http://www.ig26.com/xx1.php
  • http://www.ig26.com/zz1.php
  • http://www.yx52.pw/xx1.php
  • http://www.yx52.pw/zz1.php
  • https://admin1.tttseo.com/ht.zip

SHA256

  • 0ab7e992aa85a0e23d9a7ee1e3928eb2015c0733d7fb324bf8b0c0e3c65d500b
  • 0cd5e57662df74165fcdf8b668d23c654064c51a9d75c228b3a2b0e74bff58ed
  • 1749b814522ba5dc141b399ee8f04616d72bfdfdd8ab8ebab6c9d494a378cbfc
  • 206c9e66f337fbf0611e172217b550b9f8f25cc807e478910c872856c32eb741
  • 2c635e82f71944444b8dcc08949ff7c0ac5f04f78cfcb86410d9f61c63accf4d
  • 30080323573618d9463351c471b1bb577de8ee40cdd5fc915daf14a25737a67f
  • 3424b3c334bc28a299617739764458733bb38132e1403ef69985e4beb0dc40f2
  • 3503d6ccb9f49e1b1cb83844d1b05ae3cf7621dfec8dc115a40abb9ec61b00bb
  • 373d95685d0fd184aa4d5e47f7b1eb1848badef4fc9db46415f858f37eb20eee
  • 3cacf83c74a3be04a2fc7f9d19564b219949e941fd9b4aa183ee25f87c2816a0
  • 3f17c66aab154212fb02fc7e329296c233aebe4abd9248204fa99c490c113a6e
  • 42e99d6292f5e32592769735fc7736855a4167a40243bde671af7d47cd59003d
  • 45f21f20af0482092cdcc9d00c0657f000fac3c31fc3aeebe78ee1a397b914b3
  • 614920f1a8550070a983f2ad22d6358c6742a9e02802b025eeea8db8c3d41fb7
  • 6422684371fabf8a2ceaf06146d0a11d2c3c79647700c61f55e4af095a8360a4
  • 6430651ce3d7ab9771bdd2701d2ab953929ba8099d272f390bb263a136f8f815
  • 6e5eb43b81f103e4926be92d6bef9048bfa042bddb95a1ad3245230df0e04d22
  • 74063aeff534b824ad3f505431e56875c1fd73dfd95be7972defaf0719120406
  • 7dd1307fd65599600a5056ae867c373333ae265f6fa29dc02ec697916159ed84
  • 8251189e8b596743683f2ab2d731eb19efe3e4e28ac5c100ea88cfdc36aeeac8
  • 839b8532681df355271cd5fdbf0c0d09bef9c8cbbfa98d3fe9727afa670c30e7
  • 8627cc34ab2c713ecf5d4d171a32325eb69b140542cdd36d7eca46c19e310253
  • 8714970129d26b5967552190c540f3f7579a818c60cc4f587ebfe51d833a1a06
  • 875239000f22cff75f62f9a1aa9924a8c3fea72124b0c4b31c7b3814f9dc0601
  • 9277f848a5348e447e02cf94beae392815a235264443fdd69a3ff6eb48f040a8
  • 94b323eaf06ea503bf0157c575128e46083257b8ee71d4e5faa7ca4d38e50f8c
  • 96d5f775fca96cfe092e94bd1b978be215fd3d52e0fe1cc15bc61d787c122c85
  • 99ab43bf8a9934d01ba9ec6203c95e3c16e6c0dfc633538ab29795ba979b4adf
  • 9a8e9d587b570d4074f1c8317b163aa8d0c566efd88f294d9d85bc7776352a28
  • ad7773cb9e55e4c37bed2bb34a9e695c8965cc12c75b3da5e12f868fc1c78a52
  • b24b47faa11b18a4e67fcffc05265b51bab2cf7732c66f6695ce10e89d61fcb7
  • b3aa822a7349d95c2210598b95fa8e85c1ce0f22acdf10611a31e3e82c84ed33
  • b76ef88a61f6cb0189358a0b4268a6828054bdcd6e0bf7dff2af491d7542beaf
  • b9faf82542bbaca124ef80f58ee55a866ee10481fa30419c89f112d7bb4a9815
  • c41587c393741e78b678f1fc3d7934859a306c4cc4c0b02ca08d596289caeff4
  • c747d509ecfed834d147bdf7390903e0670e6624b7921ffcb5c73390af615850
  • c8cfb43414cd425eede08a6267a0cdf3789175dfba95a903ee9dfa0ae2e94a8b
  • cdc9f18de75991e7b289ab26b32dca9f4de6f95f88a6d3d32c87a111c4dc4d18
  • d802ac7ad043e24db3c640b1364da79973eac2025f647654972a544d5a2740dd
  • dcbe7748ceaec2ff72e9d8afa568973658534695527bd6762c05d8b9ed596f16
  • e3db221308873ae75ef124484688f303c7eb6af1ac1ed5f7fbbdcfcda7d8cf80
  • e9a9f3c7321d83e781c00eed712f9ecffc2024fd41ee1e45bc77d2ff8b1264d1
  • f2c5c7d65752a2fdf94466d36fbeee720f060aa140a89530322732d3385fb3db
  • f3f95debb843d6faf41c6884e1e7541dcff5fe1c47014914d895aaad757e0159
  • fd0dd6c05be458e18640db3eaaa9f6d259c1224f244110595b0a634fffacadf9
  • ffa94d76d4423e43a42c7944c512e1a71827a89ad513d565f82eb8fe374ef74d
Комментарии: 0
Похожие записи
0
11 дней
IOC

Gamaredon использует LNK-файлы для распространения бэкдора Remcos

security
Gamaredon использует вредоносные LNK-файлы для распространения бэкдора Remcos в рамках своей кампании, нацеленной на пользователей в Украине. Эта кампания началась в ноябре 2024 года и до сих пор активна.
0
21 день
IOC

UAT-5918 нацелен на объекты критической инфраструктуры на Тайване

security
Cisco Talos обнаружила долгосрочную вредоносную кампанию, которую они отслеживают под идентификатором UAT-5918. Эта кампания, активная по крайней мере с 2023 года, преследует цель получить устойчивый доступ