Главная страница » Индикаторы компрометации
0
8 месяцев
Индикаторы компрометации

Earth Preta APT IOCs

security

Компания Trend Micro проанализировала недавнее расширение возможностей кибератак за счет появления новых инструментов и вариантов вредоносного ПО группировки Earth Preta (также известной как Mustang Panda и Twill Typhoon).

Содержание
  1. Earth Preta APT
  2. Indicators of Compromise
  3. SHA256

Earth Preta APT

Для распространения своих атак Earth Preta теперь использует вариант червя HIUPAN, известный как PUBLOAD. Вариант червя HIUPAN, распространяющийся через съемные диски, является ключевым компонентом их стратегии, а PUBLOAD используется для первоначальной разведки. PUBLOAD собирает системную информацию и сетевые данные, создавая основу для дальнейших атак. После этого используются такие инструменты, как FDMTP, простой загрузчик вредоносного ПО, и PTSOCKET, способствующий эксфильтрации данных.
Также развились их колюче-фишинговые кампании, в которых используются многоступенчатые загрузчики, такие как DOWNBAIT и PULLBAIT. Эти загрузчики приводят к развертыванию дополнительных вредоносных программ, таких как CBROVER и PLUGX, что увеличивает глубину и масштаб атак. Эти кампании тщательно планируются и направлены на конкретные отрасли и страны в регионе АТР, часто на правительственные организации.

Сочетание сложного вредоносного ПО, передовых методов фишинга и целенаправленных атак делает Earth Preta серьезной угрозой для предприятий и организаций, требующей принятия надежных и постоянных защитных мер для снижения этих рисков.

Indicators of Compromise

SHA256

  • 2e44ebe8d864ae19446d0853c51e471489c0893fc5ae2e042c01c7f232d2a2c2
  • 3278c06b5510edabb3318aa1892eb7e426e97946b86eea925965a46ba1725ebd
  • 565fa2992212c89bdec334c0fd318b3fd2c91707431fd8186016f11645925892
  • 56cb16589ab852de4900496ef74212c17902867e90253b4d9d7f335ef7d45a7b
  • 586632c8bb5890c760efc21662105e649177deaf2b2c2eef3ede1da088f23a6c
  • 756b9d6f50bd56adca1fa3d48ff07edf8ee3cc568fb32cbdd892403670343b43
  • c662f5c851314d952cf3594232a7db5b96cb528716cd71bf38393b647cfd4c82
  • df0e16a29c9dffe2ff7b3d4c957af7459fd7e6fa8026d067202912b997773749
  • ee986beeb058ec27d0dad9a0a671bbabaa56057102faf30f63397bdbe7fca81f
  • f452b787e47493e89078e884bf92c61626e6ff4b9bc8eee8ae3728ddc65b7e46
Комментарии: 0
Похожие записи
0
23 часа
Индикаторы компрометации

Иранские злоумышленники выдают себя за модельное агентство в рамках предполагаемой шпионской операции

security
Unit 42 обнаружило предполагаемую тайную инфраструктуру, представляющую себя как немецкое модельное агентство, на которой размещен мошеннический сайт для обмана и сбора данных посетителей.
0
23 часа
Индикаторы компрометации

COLDRIVER используют новое вредоносное ПО для кражи документов у западных клиентов и неправительственных организаций

security
Google Threat Intelligence (GTIG) обнаружила новое вредоносное ПО под названием LOSTKEYS, связывая его с группой COLDRIVER, признаваемой за фишинг учетных данных у высокопоставленных лиц и неправительственных организаций.
0
2 дня
Индикаторы компрометации

Core Werewolf атаковали военные организации Беларуси и России

security
Кибершпионская группа Core Werewolf с августа 2021 года атакует военные организации в Беларуси и России, ориентируясь на предприятия оборонно-промышленного комплекса и объекты критической информационной инфраструктуры.