Главная страница » IOC
0
5 дней
IOC

EncryptHub APT IOCs

security

EncryptHub, ведущая киберпреступная организация, привлекла внимание команд по анализу угроз своей сложной кампанией по созданию вредоносного ПО. Расследование раскрыло ранее неизвестные аспекты их инфраструктуры, инструментария и моделей поведения. Ошибки в обеспечении оперативной безопасности позволили узнать критические элементы их экосистемы.

EncryptHub APT

EncryptHub использовал многоступенчатые цепочки атак, включая сценарии PowerShell, для сбора данных, кражи информации и утечки данных через Telegram. Они также распространяли вредоносное ПО, замаскированное под популярные приложения, и использовали сторонние сервисы распространения для доставки своих программ. Они определяли приоритетность жертв на основе владения криптовалютой и принадлежности к корпоративным сетям.

EncryptHub разрабатывал инструмент удаленного доступа под названием "EncryptRAT" и планировал его продажу или распространение в ближайшем будущем. Они также активно использовали известные уязвимости в своих кампаниях.

В распространении вредоносного ПО EncryptHub использовал троянские версии популярных приложений, таких как QQ Talk, WeChat и Microsoft Visual Studio. Используя поддельные приложения, они получали доступ к системам жертв и осуществляли вредоносные операции, включая латеральное перемещение и утечку данных. Имитация подлинных приложений помогала им обойти проверки безопасности и создать доверие у пользователей.

Indicators of Compromise

IPv4

  • 193.149.176.228
  • 45.131.215.16
  • 64.95.13.166
  • 82.115.223.182
  • 82.115.223.199
  • 85.209.128.128

Domains

  • 353827-coinbase.com
  • alphabit.vc
  • b8-crypt0x.com
  • blackangel.dev
  • concur.net.co
  • conferx.live
  • encrypthub.us
  • fuckedserver.net
  • global-protect.net
  • global-protect.us
  • healthy-cleanse-fit.com
  • malwarehunterteam.net
  • meets-gooie.com
  • paloaltonworks.com

URLs

  • http://185.215.113.39/files/5094364719/7GVy9sB.ps1
  • http://185.215.113.39/files/5094364719/fpEu4ir.ps1
  • http://185.215.113.39/files/5094364719/pcuy9xE.ps1
  • http://185.215.113.39/files/5094364719/RNsgUnN.ps1
  • http://185.215.113.97/files/5094364719/LR8QUOU.ps1
  • http://31.41.244.11/files/5094364719/RRFd0ev.ps1
  • http://31.41.244.11/files/5094364719/T5NHWKA.ps1
  • http://31.41.244.11/files/5094364719/WClchuE.ps1
  • http://31.41.244.11/files/5094364719/wVjWGck.ps1
  • https://85.234.100.177/b97c5970b3a1f0ccc/iwbsn37q.xl2a8

SHA256

  • 06628b0447c94dd270ecaf798bd052891cda386d504a20d439eb994004ff483c
  • 07397a113756805501a3f73a027977011849a90053f2a966053711f442d21b8d
  • 1661e8f8758526f913e4400af8dbfa7587794ba9345f299fa50373c7140e5819
  • 1bce694f9f811982eb01d381a69cdd56c3fa81d113e41b5acb902ec66ec942b1
  • 21b99435d0cf1f9845feb795c83cbf9d10211e6bc26460f4cdcfcd57569054fe
  • 37bf1269a21cba22af239e734de043f1d08d61b44414bcf63b1b9198e6a8bc87
  • 381695385bde0f96ad93dcbab79b3fc40f84e497c0b6afd087d2f1a2fbf824c3
  • 411e6413afc5dadc63f69dd37d25f23dfee1fbd5eff1a591ba33dfc38ca5a4fd
  • 4af6e5a266577ccc2dca9fcbe2f56a9673947f6f3b5b9d1d7eb740613fce80d4
  • 522fd6a56589f3ce764c88846006cca8c37ccbb286c6d2754ea979a59909271d
  • 532f4c9c72f1c77531a55f7811371aa65f85fc3a768d792482cab3381cdd29b3
  • 5588d1c5901d61bb09cd2fc86d523e2ccbc35a0565fd63c73b62757ac2ee51f5
  • 6b249d6421f4c8c04ca11febb0244f333aa49ca6a28feee62b7c681960a86ad5
  • 725df91a9db2e077203d78b8bef95b8cf093e7d0ee2e7a4f55a30fe200c3bf8f
  • 7d222bb62ae995479f05d4bddaa0b7d6dd7ade8d9c438214b00cc1d1be9b9db1
  • 90b7b711f56f00a1fa08a7a29f2cd8602b8aa1a0d78986dbfc9f64e38ac6cecd
  • 977198c47d5e7f049c468135f5bde776c20dcd40e8a2ed5adb7717c2c44be5b9
  • 9d9829ff50f5195ef4c1ebee6cf430c013ad47665657ef9a6c3bc0b9911a40c4
  • c124f307ffbfdba7190c0df9651e895c720962094a78a0af347b2f1e7a8962d0
  • c5f07de4d69742b5a4492f87902c1907948149052a9522719b1f14ab3cb03515
  • cbb84155467087c4da2ec411463e4af379582bb742ce7009156756482868859c
  • cc70570dd68a01ef43497c13ea7e5620256208b73bd1e4487f3bf0c91617169f
  • db3fe436f4eeb9c20dc206af3dfdff8454460ad80ef4bab03291528e3e0754ad
  • e4fc16fb36a5cd9e8d7dfe42482e111c7ce91467f6ac100a0e76740b491df2d4
  • Ecb7ee118b68b178e62b68a7e2aaee85bafc8b721cb9cee30d009a0c96e59cef
  • f2836437090bfb8ff878c9a8aee28e036adc4ad7c73a51623c5c6ff12445a741
  • f687fe9966f7a2cb6fdc344d62786958edc4a9d9b8389a0e2fea9907f90cfde2
  • fcfb94820cb2abbe80bdb491c98ede8e6cfa294fa8faf9bea09a9b9ceae35bf3
Комментарии: 0
Похожие записи
0
3 часа
IOC

APT37 - RokRat

security
APT37, также известная как ScarCruft, Reaper и Red Eyes - северокорейская хакерская группировка, спонсируемая государством и действующая с 2012 года. Изначально ее деятельность была сосредоточена на правительственном
0
3 часа
IOC

Squid Werewolf APT IOCs

security
В ходе недавней кибератаки злоумышленники использовали фишинговую электронную почту, чтобы атаковать ключевых сотрудников одной из промышленных организаций. Обнаруженная в декабре 2024 года экспертами BI.
0
1 день
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.
0
1 день
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает