Главная страница » IOC
0
7 месяцев
IOC

Head Mare APT IOCs

security

Head Mare - хактивистская группировка, которая в основном нападает на компании в России и Беларуси. Они проводят атаки с помощью фишинговых кампаний и использования уязвимостей в программном обеспечении, например WinRAR. Группу связывают с вредоносными программами, известными как PhantomDL и PhantomCore.

Head Mare

Head Mare - одна из таких групп, ориентированная исключительно на организации в России и Беларуси. Их атаки характеризуются схожими техниками и инструментами, используемыми другими хактивистскими группами в регионе. Однако, в отличие от других групп, Head Mare использует более современные методы получения первоначального доступа, такие как эксплуатация уязвимости CVE-2023-38831 в WinRAR.

Head Mare ведет публичный аккаунт в социальной сети, где публично размещает информацию о своих жертвах. Группа атаковала различные отрасли, включая правительственные учреждения, транспорт, энергетику, производство и развлечения. Их конечная цель - нанести максимальный ущерб компаниям в России и Беларуси, а за расшифровку данных они требовали выкуп.

В своих атаках Head Mare использует в основном общедоступное программное обеспечение, что характерно для хактивистских групп в регионе. В их инструментарий входят такие шифровальщики, как LockBit и Babuk, а также вредоносные программы PhantomDL и PhantomCore. Группа также использует такие инструменты, как Sliver, ngrok, rsockstun, XenAllPasswordPro и Mimikatz. Большинство из этих инструментов доступны в интернете, включая утечки образцов и утилиты с открытым исходным кодом.

Первоначальный доступ к системам жертв осуществляется с помощью фишинговых кампаний, в ходе которых злоумышленники рассылают документы-приманки в заархивированных файлах, использующих уязвимость WinRAR. Когда жертва пытается открыть документ, выполняется вредоносный файл. Вредоносные программы PhantomDL и Phantomcore устанавливают связь с командно-контрольными серверами злоумышленников и пытаются определить домен зараженного хоста.

Indicators of Compromise

IPv4

  • 185.80.91.107
  • 188.127.227.201
  • 188.127.237.46
  • 45.11.27.232
  • 45.87.245.30
  • 45.87.246.169
  • 5.252.176.47

URLs

  • 188.127.237.46/servicedll.exe
  • 188.127.237.46/winlog.exe
  • 194.87.210.134/gringo/splhost.exe
  • 194.87.210.134/gringo/srvhost.exe
  • 45.156.21.178/dlldriver.exe
  • 5.252.176.77/2000×2000.php
  • 5.252.176.77/legislative_cousin.exe
  • 5.252.176.77/ngrok.exe
  • 5.252.176.77/reverse.exe
  • 5.252.176.77/servicedll.rar
  • 5.252.176.77/sherlock.ps1
  • 5.252.176.77/soft_knitting.exe
  • 5.252.176.77/sysm.elf
  • 94.131.113.79/resolver.exe
  • 94.131.113.79/splhost.exe

MD5

  • 0e14852853f54023807c999b4ff55f64
  • 15333d5315202ea428de43655b598eda
  • 16f97ec7e116fe3272709927ab07844e
  • 1d2d6e2d30933743b941f63e767957fb
  • 55239cc43ba49947bb1e1178fb0e9748
  • 59242b7291a77ce3e59d715906046148
  • 6568ab1c62e61237baf4a4b09c16bb86
  • 6ddc56e77f57a069539dcc7f97064983
  • 76b23dd72a883d8b1302bb4a514b7967
  • 78cc508882aba99425e4d5a470371cb1
  • 79d871ff25d9d8a1f50b998b28ff752d
  • 7acc6093d1bc18866cdd3feccb6da26a
  • 855b1cba23fb51da5a8f34f11c149538
  • 99b0f80e9ae2f1fb15bfe5f068440ab8
  • a2bd0b9b64fbdb13537a4a4a1f3051c0
  • f7abdaae63bf59ca468124c48257f752

SHA256

  • 015a6855e016e07ee1525bfb6510050443ad5482039143f4986c0e2ab8638343
  • 053ba35452ee2ea5dca9df9e337a3f307374462077a731e53e6cc62eb82517bd
  • 08dc76d561ba2f707da534c455495a13b52f65427636c771d445de9b10293470
  • 201f8dd57bce6fd70a0e1242b07a17f489c5f873278475af2eaf82a751c24fa8
  • 22898920df011f48f81e27546fece06a4d84bce9cde9f8099aa6a067513191f3
  • 2d3db0ff10edd28ee75b7cf39fcf42e9dd51a6867eb5962e8dc1a51d6a5bac50
  • 2f1ee997a75f17303acc1d5a796c26f939eb63871271f0ad9761cdbd592e7569
  • 2f9b3c29abd674ed8c3411268c35e96b4f5a30fabe1ae2e8765a82291db8f921
  • 311edf744c2e90d7bfc550c893478f43d1d7977694d5dcecf219795f3eb99b86
  • 33786d781d9c492e17c56dc5fae5350b94e9722830d697c3cbd74098ea891e5a
  • 4c218953296131d0a8e67d70aeea8fa5ae04fd52f43f8f917145f2ee19f30271
  • 5a3c5c165d0070304fe2d2a5371f5f6fdd1b5c964ea4f9d41a672382991499c9
  • 5d924a9ab2774120c4d45a386272287997fd7e6708be47fb93a4cad271f32a03
  • 664b68f2d9f553cc1acfb370bcfa2ccf5de78a11697365cf8646704646e89a38
  • 6a889f52af3d94e3f340afe63615af4176ab9b0b248490274b10f96ba4edb263
  • 9b005340e716c6812a12396bcd4624b8cfb06835f88479fa6cfde6861015c9e0
  • 9d056138cfb8ff80b0aa53f187d5a576705bd7954d36066ebbbf34a44326c546
  • 9e9fabba5790d4843d2e5b027ba7af148b9f6e7fcde3fb6bddc661dba9ccb836
  • 9f5b780c3bd739920716397547a8c0e152f51976229836e7442cf7f83acfdc69
  • af5a650bf2b3a211c39dcdcab5f6a5e0f3af72e25252e6c0a66595f4b4377f0f
  • b8447ef3f429dae0ac69c38c18e8bdbfd82170e396200579b6b0eff4c8b9a984
  • dc3e4a549e3b95614dee580f73a63d75272d0fba8ca1ad6e93d99e44b9f95caa
  • dc47d49d63737d12d92fbc74907cd3277739c6c4f00aaa7c7eb561e7342ed65e
  • eda18761f3f6822c13cd7beae5af2ed77a9b4f1dc7a71df6ab715e7949b8c78b
Комментарии: 0
Похожие записи
0
7 часов
IOC

APT37 - RokRat

security
APT37, также известная как ScarCruft, Reaper и Red Eyes - северокорейская хакерская группировка, спонсируемая государством и действующая с 2012 года. Изначально ее деятельность была сосредоточена на правительственном
0
7 часов
IOC

Squid Werewolf APT IOCs

security
В ходе недавней кибератаки злоумышленники использовали фишинговую электронную почту, чтобы атаковать ключевых сотрудников одной из промышленных организаций. Обнаруженная в декабре 2024 года экспертами BI.
0
1 день
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.