Главная страница » IOC
0
14 дней
IOC

Фишинговые атаки FatalRAT нацелены на промышленные сектора АТР

security

Недавно была выявлена волна фишинговых атак, направленных на промышленные организации в Азиатско-Тихоокеанском регионе (APAC). В этих атаках используется сложный троянец удаленного доступа (RAT), известный как FatalRAT.

Описание

Кампания использует легитимные китайские облачные сервисы, такие как myqcloud и Youdao Cloud Notes, для распространения вредоносной полезной нагрузки, что позволяет обойти традиционные меры безопасности. Затронуты такие отрасли, как производство, строительство, информационные технологии, телекоммуникации, здравоохранение, энергетика и электроэнергетика, а также крупномасштабная логистика и транспорт. Злоумышленники используют сложную, многоступенчатую цепочку заражения, что затрудняет обнаружение и устранение последствий.

Атака начинается с фишинговых сообщений, содержащих ZIP-архивы с официальным или финансовым содержимым. После извлечения и выполнения загрузчик первого этапа связывается с Youdao Cloud Notes для получения дополнительных вредоносных компонентов. На последующих этапах загружаются и исполняются DLL-библиотеки конфигуратора и загрузчика, которые затем развертывают полезную нагрузку FatalRAT. Вредоносная программа использует боковую загрузку DLL, внедряя вредоносный код в легитимные процессы, чтобы избежать обнаружения. На протяжении всего этого процесса вредоносная программа динамически обновляет адреса своих C2-серверов, сохраняя устойчивость и усложняя усилия по снижению воздействия.

Indicators of Compromise

IPv4

  • 103.119.44.100
  • 103.119.44.152
  • 103.119.44.93

IPv4 Port Combinations

  • 1.12.37.113:8081
  • 101.33.243.31:82
  • 103.144.29.123:6000
  • 103.144.29.211:6000
  • 106.52.216.112:6000
  • 107.148.50.112:6000
  • 107.148.50.113:6000
  • 107.148.50.116:6000
  • 107.148.52.176:6000
  • 107.148.52.241:6000
  • 107.148.52.242:6000
  • 107.148.54.105:6000
  • 111.230.10.93:6000
  • 111.230.108.14:6000
  • 111.230.15.48:8081
  • 111.230.32.52:6000
  • 111.230.45.217:8081
  • 111.230.91.145:8081
  • 111.230.93.174:8081
  • 114.132.121.130:6000
  • 114.132.46.48:6000
  • 114.132.56.175:6000
  • 119.29.219.211:6000
  • 119.29.235.38:6000
  • 120.78.173.89:6000
  • 120.79.91.168:6000
  • 122.152.231.146:6000
  • 123.207.1.145:6000
  • 123.207.16.43:6000
  • 123.207.35.145:6000
  • 123.207.44.193:6000
  • 123.207.55.60:6000
  • 123.207.58.147:6000
  • 123.207.79.195:6000
  • 123.207.8.204:6000
  • 134.122.137.252:6000
  • 139.199.168.63:6000
  • 154.197.6.103:6000
  • 154.206.236.9:6000
  • 154.39.238.101:6000
  • 154.91.227.32:6000
  • 156.236.67.181:6000
  • 175.178.166.216:6000
  • 175.178.89.24:6000
  • 175.178.96.9:8081
  • 206.233.130.141:6000
  • 42.193.242.180:6000
  • 43.138.176.5:6000
  • 43.138.199.241:6000
  • 43.139.101.11:6000
  • 43.139.35.42:6000
  • 43.154.238.130:6000
  • 43.154.238.130:8081
  • 43.154.68.193:6000
  • 43.159.192.196:6000
  • 47.106.224.107:6000
  • 47.57.68.157:8080
  • 8.217.0.16:6000
  • 81.71.1.107:6000
  • 82.156.145.216:6000

Domains

  • myqcloud.com
  • note.youdao.com
  • 0a305ffb2a1d41f6870eac02f9afce89.xyz
  • 101.kkftodesk101.top
  • 102.kkftodesk102.top
  • 104.kkftodesk104.top
  • 105.kkftodesk105.top
  • 106.kkftodesk106.top
  • 107.kkftodesk107.top
  • 108.kkftodesk108.top
  • 109.kkftodesk109.top
  • 110.kkftodesk110.top
  • 34.kosdage.asia
  • cloudservicesdevc.tk
  • microsoftmiddlename.tk
  • microsoftupdatesoftware.ga
  • novadector.xyz
  • Vip033324.xyz
  • xindajiema.info

URLs

  • http://11-1318622059.cos.ap-nanjing.myqcloud.com/BEFORE.dll
  • http://11-1318622059.cos.ap-nanjing.myqcloud.com/DLL.dll
  • http://11-1318622059.cos.ap-nanjing.myqcloud.com/DLL2.dll
  • http://11-1318622059.cos.ap-nanjing.myqcloud.com/DLL2auto.dll
  • http://11-1318622059.cos.ap-nanjing.myqcloud.com/FANGAO.dll
  • http://11-1318622059.cos.ap-nanjing.myqcloud.com/FANGAOtest.dll
  • http://526-1316713808.cos.ap-nanjing.myqcloud.com/BEFORE.dll
  • http://526-1316713808.cos.ap-nanjing.myqcloud.com/DLL.dll
  • http://526-1316713808.cos.ap-nanjing.myqcloud.com/DLL2.dll
  • http://526-1316713808.cos.ap-nanjing.myqcloud.com/FANGAO.dll
  • http://529-1316713808.cos.ap-nanjing.myqcloud.com/BEFORE.dll
  • http://529-1316713808.cos.ap-nanjing.myqcloud.com/DLL2.dll
  • http://529-1316713808.cos.ap-nanjing.myqcloud.com/FANGAO.dll
  • http://530-1316713808.cos.ap-nanjing.myqcloud.com/FANGAO.dll
  • http://mytodesktest-1257538800.cos.ap-nanjing.myqcloud.com/DLL.dll
  • http://note.youdao.com/yws/api/note/1eaac14f58d9eff03cf8b0c76dcce913
  • http://note.youdao.com/yws/api/note/4b2eead06fc72ee2763ef1f653cdc4ae
  • http://todesk-1316713808.cos.ap-nanjing.myqcloud.com/BEFORE.dll
  • http://todesk-1316713808.cos.ap-nanjing.myqcloud.com/DLL.dll
  • http://todesk-1316713808.cos.ap-nanjing.myqcloud.com/DLL2.dll
  • http://yuehai-1316713808.cos.ap-nanjing.myqcloud.com/before1/BEFORE.dll
  • http://yuehai-1316713808.cos.ap-nanjing.myqcloud.com/before2/BEFORE.dll
  • http://yuehai-1316713808.cos.ap-nanjing.myqcloud.com/DLL.dll
  • http://yuehai-1316713808.cos.ap-nanjing.myqcloud.com/FANGAO.dll

MD5

  • 02477e031f776539c8118b8e0e6663b0
  • 02d8c59e5e8a85a81ee75ce517609739
  • 02fb1958a901d7d1c8b60ecc0e59207c
  • 033a8d6ec5a738a1a90dd4a86c7259c8
  • 04aa425d86f4ef8dc4fc1509b195838a
  • 05c528a2b8bb20aad901c733d146d595
  • 096c34df242562d278fc1578dc31df92
  • 09a50edb49cbb59a34828a37e63be846
  • 0a49345c77da210ab0cd031fda6bc962
  • 0a70ea6596c92fbfb461909ed57503fa
  • 0b20f0ff1aaff4068f99f4db69ba9c1e
  • 0c33792c6ed37452f44ca94ce7385250
  • 142eb5106fcc2f95b7daf37dca970595
  • 15962f79997a308ab3072c10e573e97c
  • 15b7990bd006d857ee02c529b45783ac
  • 17278c3f4e8bf56d9c1054f67f19b82c
  • 172ee543d8a083177fc1832257f6d57d
  • 1c79abe9f52cbe92f042615a9f6b6f10
  • 1e80a8b3f4efb4bb27771d729f5ced85
  • 1fe3885dea6be2e1572d8c61e3910d19
  • 2026ead0c2366d049ecd5e42ac1b1b07
  • 249f568f8b8709591e7afd934ebea299
  • 24ecb197ee73e5b1eef2ded592640cf2
  • 266bb19f9ceb1a4ccbf45577bbeaac1a
  • 26f0806932dfd029f0fe12e49bb4c799
  • 28231ce260ce66388d58ce536d7ed201
  • 2aa41ae3d3ae789147218652e6593161
  • 2bccd50322afb7a349c163ce9b76bb66
  • 32c105c5229843aaebf12621359195a9
  • 34b29454676e780d81d8bba066d7d94f
  • 357534f6a2bffa77b83501715e382a94
  • 362fc5799ecef8e9e328cfbf6272c48f
  • 3843ef98a4c7ee88f10078e6a38f15ee
  • 3883957530482a399abb5e1f06e4581f
  • 3b32fc9115c224653f5afba793c0bbef
  • 3c583e01eddd0ea6fe59a89aea4503b4
  • 3ca82fd8d12967c32388ad18e9727fac
  • 3ec20285d88906336bd4119a74d977a0
  • 43156787489e6aa3a853346cded3e67b
  • 44b47fdab8ca3375fe5a875deefa265c
  • 46630065be23c229adff5e0ae5ca1f48
  • 4e40c9945cc8b62c123e5636155e96a7
  • 4fc6dbb9beeecb2d60f3fef356c6df01
  • 502054d938a18172a3657aaf2326bcf4
  • 50a5c5a3c07f04d96f5f1968996cfb74
  • 50d29ee29b54685bd10b8d2917696413
  • 577e1a301e91440b920f24e7f6603d45
  • 58a8daae643a84c112ddc6e79c750271
  • 58e44c4d797cecfed42c1fdf18c2d5f9
  • 58fe500e022ea1aeebbe72c4ce694531
  • 5b730131c3271820c03d711f2549b894
  • 5be46b50cac057500ea3424be69bf73a
  • 5c1de870ea1e08b25e7ce4397372f5a6
  • 5d7fba23a44683c0b471d9a7cc7f5042
  • 60a92d76e96aaa0ec79b5081ddcc8a24
  • 60dbc3ef17a50ea7726bdb94e96a1614
  • 632c0808e4d0c7b293642e4c4ae8e2a2
  • 63562347202715eff0e7f2d6ad07a2aa
  • 635f3617050e4c442f2cbd7f147c4dcf
  • 63c600434def54157204765619838372
  • 64013e613a0130cb1b7845139537bc5e
  • 64d72e8d0539e6a0b74fb1c6e5127c05
  • 64fdeed776cfd5e260444ae2e4a5b1a4
  • 675a113cdbcce171e1ff172834b5f740
  • 68a27f7ccbfa7d3b958fad078d37e299
  • 699ad2a5b6d9b9b59df79e9265ebd47a
  • 6a5e3776c3bfdadd899704589f28e9fd
  • 6a73f3bab8fb205ed46e57cf076b6f6d
  • 6bfe01cd9c038aa90bcd600d49657c21
  • 7081b6781e66bdceb2b119a783b6c7fd
  • 73e49ddf4251924c66e3445a06250b10
  • 771a5d8fc6829618f15abe49796d1c44
  • 787f2819d905d3fe684460143e01825c
  • 790cf080abb18af471d465998b37fd1b
  • 797d111244805e897db5c21010ee8e12
  • 7ac3ebac032c4afd09e18709d19358ed
  • 7ba376f5a71ffa21a92c7b35c3b000eb
  • 80c7667c14df5b92ab206b2ea9b42aff
  • 82394a97458094b1cb22c4e243f4e9db
  • 8577438ecff5753ddcf427b93c5976c8
  • 8c0599c0a6b7ffaff93762d0c3ea2569
  • 8da2c4796c439f4a57536bd5c5d3f811
  • 8e474f9321fc341770c9100853eb41eb
  • 8f67a7220d36d5c233fc70d6ecf1ee33
  • 9037ccfcd3d3d1542089d30d3041db1c
  • 936c16a64432348176f9183cd1524cef
  • 93f12cbfb9ba1a66d3a050a74bab690b
  • 949f086c40cfc5144243a24688961414
  • 9636309c41e8a33507c349b8e9053c49
  • 991cb5f8476edbc73223d1331704a9fd
  • 9b4d46177f24ca0a4881f0c7c83f5ef8
  • 9bb22b91b5ad59972130a3a428f7b5bb
  • 9bf2e34511619b7c4573c3974bdbaa39
  • 9c3f469a5b54fb2ec29ac7831780ed6d
  • 9d34d83e4671aaf23ff3e61cb9daa115
  • 9e8a08fcddb10db8d58e17b544d81bff
  • a009b341aa6f5bda61300dc5e7822480
  • a7b20338dd9ed5462ddff312b67556e9
  • a935ef1151d45c7860bfe799424bea4b
  • ab5f57681299933c1f70b938caa526d3
  • ac3fbdbfbc08f41e4ad1c004180093f1
  • ad216eaf11500eb73c6cdafc18cb49d8
  • ae735b1d9b7e9dd496d22409ceaeda66
  • b0c315c5dcda6e4442280c07b11d1ba5
  • b1ad89be2632933350683b91011a4aee
  • b37917ea3849607d02d330130a823567
  • b3f8f1272813bff80630b9caab6e5089
  • b5c46f829fed11b4ddc2e155dc5cf974
  • bc36b1be438f92fe5f9a47f13244503e
  • bcec6b78adb3cf966fab9025dacb0f05
  • bd6b8574738c7589887b61d4fad68fce
  • bdd68e7733c09fad48d4642689741ea4
  • be15a198f05eb39277720defa9188f62
  • c4579aa972d32e946752357ca56ee501
  • c555cc05f9d16b9e9222693e523e0ba5
  • c89a4a106619c67b8410efa695d78ef3
  • ca7dc49e80b2a77677718c72f3cc6bc1
  • cbc36deadef17a4c315cbbff3f74439f
  • d0d3efcff97ef59fe269c6ed5ebb06c9
  • d35635e8d07b923d1e89f541d4f03b90
  • d413cf08ef7c6357dd0215b8b9ebe6f4
  • d494efc086447c543d0c3c7beecf2bc6
  • d6bda8be4ba9563844b3b9367b73bd2e
  • dc2676b0c54b31a017ada4f62693de54
  • dded5d108b6a9ee50d629148d8ed4ec5
  • df6f5f4b7b8ba3c2c0ddc00d47e33218
  • e0d5b46dffee56c337fdc172ce617850
  • e32020ab02e11a995effb7781aabd92f
  • e6ef56c91bd735542775dfef277e0cc7
  • e8204900e8acb502ca6e008f9532b35e
  • e91991304abf5d881545bc127e7fb324
  • eb53df9fe23d469350885164aa82215e
  • eb9419aa5c6fee96defad140450a9633
  • ebc0809580940e384207aa1704e5cc8e
  • ec0bdf52c113487e803028dbc52e8173
  • eca08239da3acaf0d389886a9b91612a
  • ed036740be0a8e3203a54edd4d4b735c
  • ed6837f0e351aff09db3c8ee93fbcf06
  • f481a67933055956e8dd77b4b2bde9ed
  • f8136c909fb35457fc963d87b50bc158
  • f9e461cc83076d5f597855165e89f0db
  • fb8dc76a0cb0a5d32e787a1bb21f92d2
  • fdc35392af34ef43291b8f7f959ef501
  • feb49021233524bd64eb6ce37359c425
  • feb8e6059a234ea689404d3d4336e8af

SHA256

  • 17075832426b085743c2ba811690b525cf8d486da127edc030f28bb3e10e0734
  • 1cabdb7ab1cbd0526498d15839c780850a41a8c917b65581fad9e7dbdedd5e0f
  • 210990e36122e0facc7c74373569f052fa0651ab06644330fe00b685793ee0fd
  • 337841b5ade52ba853a30eb8ab04dede64d89808893fb6e04122479502951528
  • 34f37327a0154d644854a723e0557c733931e2366a19bdb4cfe6f6ae6770c50f
  • 5453911d6f597d65ab542ec25723a7d87b2292c2e2a52a40d3a32032f6117acd
  • 72cd668d9bc442f522556807390d4f7e32966bef20ef1a831bf36a5ab213191e
  • 826d07108a1223140e6a58b44722404009ac2e82df0acfd7d1f5bf29b56526b6
  • b01719e59675236df1a0e1a78cdd97455c0cf18426c7ec0f52df1f3a78209f65
  • cb450f82c49eadd597a87645f9f30c52c03c6ed9425386af5b321664fe3a6da0
  • dc026cd76891d1f84f44f6789ac0145a458e2c704a7bc50590ec08966578edb3
  • e52af19dce25d51f9cf258613988b8edc583f7c7e134d3e1b834d9aab9c7c4c4
  • ec0dcfe2d8380a4bafadb3ed73b546cbf73ef78f893e32202042a5818b67ce56
Комментарии: 0
Похожие записи
0
2 дня
IOC

Тенденции в области фишинговых писем в феврале 2025 года

phishing
Наиболее распространенной угрозой среди вложений фишинговых писем был фишинг, при котором использовались скрипты, чтобы подделать страницы входа в систему и привлечь пользователей к вводу своих учетных данных.
0
8 дней
IOC

Dark Caracal APT IOCs

security
В первом квартале 2024 года исследователи обнаружили новую вредоносную программу под названием Poco RAT, которая, как предполагается, является продолжением кампании Dark Caracal, начавшейся в 2022 году.
0
9 дней
IOC

Постоянные фишинговые атаки JavaGhost из облака

phishing
Группа злоумышленников JavaGhost, известная своей активностью в киберпространстве, продолжает использовать облачные среды для проведения фишинговых кампаний, с целью вымогательства финансовой выгоды.