Главная страница » Индикаторы компрометации
0
12 месяцев
Индикаторы компрометации

Earth Hundun APT IOCs

security

Earth Hundun использует вредоносные программы Waterbear и Deuterbear для атак на Азиатско-Тихоокеанский регион. Waterbear был сперва замечен в октябре 2022 года, а Deuterbear является его последней модификацией. Deuterbear является усовершенствованной версией Waterbear и обладает различными функциями, включая поддержку плагинов для шелл-кода и использование HTTPS для связи с C&C-сервером. Deuterbear использует формат шелл-кода, функцию антисканирования памяти и делится ключом трафика со своим загрузчиком.

Это свидетельствует о развитии инструментария Earth Hundun.Waterbear и Deuterbear распространяются через загрузчики, которые маскируют свою активность.

Waterbear и Deuterbear. Waterbear на первом этапе использует исправленные легитимные исполняемые файлы, загрузчики и зашифрованные загрузчики. Затем Waterbear загружает в память свою последнюю версию RAT, которая включает в себя команды для внедрения выбранного процесса и загрузки плагина Waterbear. Плагин Waterbear содержит две версии загрузчика, которые запускаются в зависимости от разрядности процесса. Deuterbear является следующей стадией после Waterbear и имеет возможность принимать плагины с шелл-кодами.

Deuterbear также может функционировать без рукопожатий при работе RAT.

Содержание
  1. Indicators of Compromise
  2. Domains
  3. SHA256

Indicators of Compromise

Domains

  • *.availitond.com
  • *.bakhell.com
  • *.ccarden.com
  • *.centralizebd.com
  • *.dailteeau.com
  • *.gayionsd.com
  • *.gelatosg.com
  • *.lucashnancy.com
  • *.nestnewhome.com
  • *.operatida.com
  • *.quadrantbd.com
  • *.randaln.com
  • *.rchitecture.org
  • *.taishanlaw.com

SHA256

  • 057a0e0f522cc217ba8754abbb67f8a667c0054fe0dcdaf01f4930d75cd667cc
  • 31c76585ea703f96c95efab0778f599d8dc5c26eea5d155ce24f614e6bfe9e8c
  • 3d8512a513e5f94ce49a742ae3e4853775f05d7481b29bfacef4316d7ba3bde2
  • 3ecbca7bf2e4557e92595fe23872658bc3337e6f77a3aff02fb7b460272de7f4
  • 609120ab45745bcfe8abc244ea1501ef563cb666abd9d730413c3986a76fb23d
  • 88336746f2cf1034871c4ee334fae0d30c3eb101df6f3f1c94c777639293a031
  • 974c407dd918ccba245da0fb9d5a68f123c78aacfa85cdaba2271d6ad81380ae
  • d4b5127988fde3704193a30840e991dc745aea051d1551c7cb6f55853c8cb9da
Комментарии: 0
Похожие записи
0
2 дня
Индикаторы компрометации

Иранские злоумышленники выдают себя за модельное агентство в рамках предполагаемой шпионской операции

security
Unit 42 обнаружило предполагаемую тайную инфраструктуру, представляющую себя как немецкое модельное агентство, на которой размещен мошеннический сайт для обмана и сбора данных посетителей.
0
2 дня
Индикаторы компрометации

COLDRIVER используют новое вредоносное ПО для кражи документов у западных клиентов и неправительственных организаций

security
Google Threat Intelligence (GTIG) обнаружила новое вредоносное ПО под названием LOSTKEYS, связывая его с группой COLDRIVER, признаваемой за фишинг учетных данных у высокопоставленных лиц и неправительственных организаций.
0
3 дня
Индикаторы компрометации

Core Werewolf атаковали военные организации Беларуси и России

security
Кибершпионская группа Core Werewolf с августа 2021 года атакует военные организации в Беларуси и России, ориентируясь на предприятия оборонно-промышленного комплекса и объекты критической информационной инфраструктуры.