Главная страница » IOC
0
4 месяца
IOC

Evasive Panda APT IOCs - Part 2

security

Исследователи из ESET подробно описали CloudScout, набор инструментов .NET после компрометации, использовавшийся связанной с Китаем группой постоянных угроз Evasive Panda для атаки на правительственную и религиозную организации в Тайване.

Evasive Panda APT

CloudScout, интегрированный с разработанным Evasive Panda фреймворком MgBot, использует украденные cookies для доступа к облачным сервисам, таким как Google Drive, Gmail и Outlook. Этот подход позволяет обойти традиционную защиту от входа в систему, используя существующие аутентифицированные сессии, что делает его очень эффективным для утечки данных.

Набор инструментов состоит из модулей, адаптированных для каждого целевого сервиса и позволяющих выполнять такие специфические функции, как получение электронной почты и доступ к файлам. Построенные на C#, эти модули развертываются через плагины MgBot, написанные на C++. Анализ показывает, что фреймворк, вероятно, включает дополнительные модули, которые могут быть нацелены на другие облачные платформы, хотя на данный момент выявлено только три модуля (нацеленные на Google Drive, Gmail и Outlook).

По мнению ESET, операции группы злоумышленников носят стратегический характер и соответствуют политическим интересам Китая, особенно в отношении организаций на Тайване и тех, кто выступает против китайского правления. Ранее эта группа использовала такие методы, как атаки на цепочки поставок и перехват DNS, демонстрируя тем самым передовые возможности.

Indicators of Compromise

SHA1

  • 348730018e0a5554f0f05e47bba43dc0f55795ac
  • 3dd958ca6eb7e8f0a0612d295453a3a10c08f5fe
  • 4a5bcdaac0bc315edd00bb1fccd1322737bcbeeb
  • 547bd65eee05d744e075c5e12fb973a74d42438f
  • 621e2b50a979d77ba3f271fab94326cccbc009b4
  • 67028aeb095189fdf18b2d7b775b62366ef224a9
  • 812124b84c5ea455f7147d94ec38d24bdf159f84
  • 84f6b9f13cdcd8d9d15d5820536bc878cd89b3c8
  • 8eaa213ae4d482938c5a7ec523c83d2c2e1e8c0e
  • 93c1c8ad2af64d0e4c132f067d369ecbebae00b7
  • 9b6a473820a72111c1a38735992b55c413d941ee
  • a1ca41fdb61f03659168050de3e208f0940f37d8
  • ad6c84859d413d627ac589aedf9891707e179d6c
  • b3556d1052bf5432d39a6068ccf00d8c318af146
  • c058f9fe91293040c8b0908d3dafc80f89d2e38b
  • c70c3750ac6b9d7b033addef838ef1cc28c262f3
Комментарии: 0
Похожие записи
0
7 часов
IOC

APT37 - RokRat

security
APT37, также известная как ScarCruft, Reaper и Red Eyes - северокорейская хакерская группировка, спонсируемая государством и действующая с 2012 года. Изначально ее деятельность была сосредоточена на правительственном
0
7 часов
IOC

Squid Werewolf APT IOCs

security
В ходе недавней кибератаки злоумышленники использовали фишинговую электронную почту, чтобы атаковать ключевых сотрудников одной из промышленных организаций. Обнаруженная в декабре 2024 года экспертами BI.
0
1 день
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.
0
1 день
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает