Главная страница » IOC
0
4 месяца
IOC

Earth Estries APT IOCs

security

Злоумышленник высокого уровня, известный как Earth Estries или Salt Typhoon, проводит кампании атак на правительства и технологическую индустрию.

Earth Estries APT

Обе цепочки атак используют уязвимости в системах, таких как серверы Microsoft Exchange и средства управления сетевыми адаптерами. Первая цепочка атак использует инструменты PsExec, Trillclient, Hemigate и Crowdoor, которые поставляются через CAB-файлы. Вторая цепочка атак использует вредоносные программы Zingdoor и SnappyBee, доставляемые через загрузки cURL.

Earth Estries постоянно обновляет свои инструменты и использует бэкдоры для латерального перемещения и кражи учетных данных. Данные собираются и отправляются анонимными файловыми сервисами с помощью Trillclient, а инструмент cURL используется для отправки информации с использованием прокси-серверов.

Подробнее рассмотрены две цепочки атак. Первая цепочка включает использование PsExec и WMI для перемещения по сети, а также инструменты Cobalt Strike, Trillclient, Hemigate и Crowdoor. Earth Estries также использует Trillclient для кражи учетных данных из кэша браузера и wget для загрузки документов. Вторая цепочка атак использует уязвимость в QConvergeConsole и Apache Tomcat6 для доступа к системе и эксплуатации инструментов.

Earth Estries продолжает обновлять свои инструменты и использовать бэкдоры, включая новый вариант Crowdoor. Оба варианта Crowdoor взаимодействуют с Cobalt Strike и применяются для бокового перемещения и сохранения доступа к компрометированным машинам.

Злоумышленники Earth Estries продолжают проводить длительные кампании атак, постоянно адаптируя и модернизируя свои инструменты. Их стойкость и умение скрываться в сетях делают их значительной угрозой для правительств и технологической индустрии.

Indicators of Compromise

IPv4

  • 103.103.128.121
  • 103.103.131.40
  • 103.15.28.228
  • 103.159.133.205
  • 103.159.133.209
  • 154.220.3.17
  • 156.255.2.202
  • 162.19.135.182
  • 38.54.71.140
  • 45.192.178.208

Domains

  • amazoncdns.com
  • ap.missmichiko.com
  • auth.boxlibraries.com
  • blog.techmersion.com
  • broadmediacloud.com
  • c11r.awsdns-531.com
  • cache10.newsfreecloud.com
  • cachecloud.cloudflaresrv.com
  • cas04.awsdns-531.com
  • cdglobalclouds.com
  • cdn101.cloudflaresrv.com
  • cdn181.awsdns-531.com
  • cloudsrv.cloudfrontsrv.com
  • credits.offices-analytics.com
  • de.huseinhbz.click
  • emv1.cdglobalclouds.com
  • emv1.techmersion.com
  • euphemismscase.site
  • ftp.techmersion.com
  • ge.huseinhbz.click
  • global.techmersion.com
  • globalnetzone.b-cdn.net
  • helpdesk.athenatechlabs.com
  • helpdesk.cloudshappen.com
  • images.dbacloudsupport.com
  • kidshomeworkabc.global.ssl.fastly.net
  • llnw-dd.awsdns-531.com
  • lync.realtxholdem.com
  • mail.euphemismscase.site
  • mail2-0da8aa1c.oxcdntech.com
  • ms101.cloudshappen.com
  • ms119.newsfreecloud.com
  • ns.starkaero.com
  • ns101.awsdns-531.com
  • ns108.cloudshappen.com
  • opengl.cloudshappen.com
  • pay.johannesburghotel.net
  • portal.cdglobalclouds.com
  • portal.sppokemon.com
  • portal.techmersion.com
  • redsquare.redcrossco.com
  • resource.offices-analytics.com
  • services.offices-analytics.com
  • soffice.offices-analytics.com
  • ssl3.awsdns-531.com
  • supports.dbacloudsupport.com
  • supports.flarecastdns.com
  • svn.truecdnnetwork.com
  • www.amazoncdns.com
  • www.cloudshappen.com
  • www.dbacloudsupport.com
  • www.euphemismscase.site
  • www.nodtecloud.com
  • zmail.broadmediacloud.com

SHA256

  • 03365cce37db511fdfaf8d77a14f806a2d822a111aa8cc032b5b341c0b0064a5
  • 09abc579097b0bd8d115702bb1eeb546d2401373c83385a52386ad4243f945e8
  • 0c8c0b2837fbb9c15da1bfb904ed3f3903e2d4d49c999394068f274b014a09dd
  • 1378bde3aee0057ca2a5854fee4d184479491ec624a3bbf215098afaa6b82299
  • 25b9fdef3061c7dfea744830774ca0e289dba7c14be85f0d4695d382763b409b
  • 27042218e8d1a0491525b35a6dc2fc0737841bcaed65b751e78769eadeda9751
  • 292f70bff5717608c289f4146febcc06a2c5d8192529a8c51e18ec0f7b44d1cf
  • 39f1c7095e1db05944eeda08a2e1c1b8c513ea581bfc0cb36ad106e3a8f38b5f
  • 42d4eb7f04111631891379c5cce55480d2d9d2ef8feaf1075e1aed0c52df4bb9
  • 4aeaa0d954268d4fc7179ec7578258c3459ee95b82698363e0cafb700c05181a
  • 6a4de5c7787e212dea5f033f8f7cd39aefc93e7c83c8564dc2204813e8e76ff2
  • 6d64643c044fe534dbb2c1158409138fcded757e550c6f79eada15e69a7865bc
  • 6f274955b1fb58cc9a60476bc5a9cd9d54c962cc29e73db41b7786148cb74505
  • 95062728536f23b1335756ae1a1d68f1df22d58594ece9998cae6b73772fd49f
  • 98ddf03ca6ade4770cc06ac8034b3468bd94094f5813d28b74885e5ca6958895
  • a113c637bb81f9bbd39731672b242a8da5915ef4b5e93d72cc9a7454b5e120bd
  • a298031b1c28f11f00d3b9f6311fbfae881d6c789e70c4bc5e6ccdf8165b94c6
  • b17660d1a4c0258739024187497be0b11530791d1307d9e5556f04f0ac58d42f
  • b450311b5fc4333b26955f7c709ca61fcfdba168f1a8839a93979a892a8c22cc
  • c32156a7de42a61f5d584e82dfbced690d23fd72080024c14a9143e5f20f0ad8
  • cd8630f8e07e16203195f563457a84beb08112fcbb4d9ee1056a788174cf8f6b
  • cdde7878ed0529f9ef3ad58aa3084f1df6e2fb371807b15539187539b060fed2
  • d0575b3ced944dc627d047c60f23d25bd3aa0c4deab69f784b9a80aae50fbd7b
Комментарии: 0
Похожие записи
0
7 часов
IOC

APT37 - RokRat

security
APT37, также известная как ScarCruft, Reaper и Red Eyes - северокорейская хакерская группировка, спонсируемая государством и действующая с 2012 года. Изначально ее деятельность была сосредоточена на правительственном
0
8 часов
IOC

Squid Werewolf APT IOCs

security
В ходе недавней кибератаки злоумышленники использовали фишинговую электронную почту, чтобы атаковать ключевых сотрудников одной из промышленных организаций. Обнаруженная в декабре 2024 года экспертами BI.
0
8 часов
IOC

Поддельные репозитории GitHub, созданные с помощью искусственного интеллекта, способствуют распространению SmartLoader и LummaStealer

security
Киберпреступники используют поддельные репозитории GitHub для распространения вредоносных программ. Эти репозитории представляют собой легитимные инструменты, такие как игровые читы, взломанное программное
0
1 день
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.