Главная страница » IOC
0
5 месяцев
IOC

HeptaX APT IOcs

security

Компания Cyble обнаружила продолжающуюся кампанию группы постоянных угроз, которая сфокусирована на получении несанкционированного доступа к удаленному рабочему столу и нацелена на широкий круг пользователей.

HeptaX APT

Атаки начинаются с вредоносных LNK-файлов, которые приводят к многоступенчатой цепочке атак, основанных на сценариях PowerShell и BAT. Злоумышленники изменяют настройки Remote Desktop, создают административную учетную запись и имеют возможность несанкционированного доступа к рабочему столу жертвы. Кампания также использует инструмент ChromePass для сбора паролей из браузеров на базе Chromium.

Компания Cyble определила кампанию как "HeptaX" и сообщила, что она активна с 2023 года. Злоумышленники активно используют PowerShell и BAT-сценарии для получения доступа к компрометированным системам. Кампания была обнаружена в разных секторах, и хотя схемы атак сохраняются неизменными, они постоянно меняют темы заманивания и применяют социальную инженерию. Некоторые из недавних файлов-целей включают документы, связанные с блокчейном, резюме музыкантов и дропшиппинг проекты.

Анализ кампании показывает, что группа HeptaX оперирует с разных IP-адресов, но использует одни и те же методы в различных кампаниях. Они предположительно распространяют свои атаки через фишинговые электронные письма. Кампания использовала разнообразие названий файлов и тем заманивания, указывая на широкую целевую аудиторию.

Одним из заметных инструментов, использованных в кампании HeptaX, является ChromePass, который используется для сбора сохраненных паролей из браузеров на базе Chromium. Это представляет дополнительный риск компрометации учетных данных пользователей.

Продолжающаяся кампания HeptaX является серьезной угрозой для организаций и пользователей. Хотя она неоднократно была обнаружена и анализировалась исследователями, злоумышленники продолжают активно использовать ее методы. Рекомендуется обновлять защитные меры и быть бдительными в отношении подозрительных электронных сообщений и файлов.

Indicators of Compromise

URLs

  • http://157.173.104.153/up/b.ps1
  • http://157.173.104.153/up/bait/202409_Resident_Care_Quality_Improvement_Strategies_for_Nursing_Homes_Enhancing_Patient_Satisfaction_and_Health_Outcomes.pdf
  • http://157.173.104.153/up/bb.ps1
  • http://157.173.104.153/up/get-command.php
  • http://157.173.104.153/up/index.php
  • http://157.173.104.153/up/scheduler-oncex
  • http://157.173.104.153/up/Tool/ChromePass.exe
  • http://157.173.104.153/up/trigger

SHA256

  • 18e75bababa1176ca1b25f727c0362e4bb31ffc19c17e2cabb6519e6ef9d2fe5
  • 1d82927ab19db7e9f418fe6b83cf61187d19830b9a7f58072eedfd9bdf628dab
  • 4b127e7b83148bfbe56bd83e4b95b2a4fdb69e1c9fa4e0c021a3bfb7b02d8a16
  • 5ff89db10969cba73d1f539b12dad42c60314e580ce43d7b57b46a1f915a6a2b
  • 6605178dbc4d84e789e435915e86a01c5735f34b7d18d626b2d8810456c4bc72
  • 999f521ac605427945035a6d0cd0a0847f4a79413a4a7b738309795fd21d3432
  • a8d577bf773f753dfb6b95a3ef307f8b4d9ae17bf86b95dcbb6b2fb638a629b9
Комментарии: 0
Похожие записи
0
2 дня
IOC

Новый банковский троян TsarBot для Android, атакующий более 750 банковских, финансовых и криптовалютных приложений

Banking Trojan
Компания Cyble Research and Intelligence Labs (CRIL) обнаружила новый банковский троян для Android под названием TsarBot, который использует оверлейные атаки для атаки на более чем 750 банковских, финансовых
0
4 дня
IOC

APT-группа ToddyCat использует уязвимость в ESET для проксирования DLL-файлов

security
Группы APT используют различные методы обхода защитных систем, чтобы скрыть свою деятельность в зараженных системах. Одним из таких методов является использование руткитов на уровне ядра в системах Windows.
0
4 дня
IOC

Lazarus расширяет вредоносную кампанию npm: 11 новых пакетов добавляют загрузчики вредоносного ПО и полезную нагрузку Bitbucket

security
Группа злоумышленников Contagious Interview, предположительно связанная с Северной Кореей и известная как Lazarus Group, продолжает свою вредоносную кампанию, расширяя свое присутствие в экосистеме npm.