Главная страница » IOC
0
4 месяца
IOC

Jumpy Pisces APT IOCs

security

Unit 42 установило, что северокорейская группа угроз Jumpy Pisces, также известная как Andariel и Onyx Sleet, участвовала в недавнем инциденте с вымогательским ПО благодаря потенциальному сотрудничеству с группой Play ransomware.

Jumpy Pisces APT

Исторически известная кибершпионажем, финансовыми преступлениями и атаками с целью выкупа, Jumpy Pisces (Onyx Sleet) получила первоначальный доступ к сети жертвы в начале сентября 2024 года через взломанную учетную запись пользователя. Они сохраняли устойчивость и продвигались вперед, используя инструмент Sliver с открытым исходным кодом, свою собственную вредоносную программу DTrack и другие инструменты, такие как адаптированная версия Mimikatz для дампа учетных данных, инструмент для создания учетных записей привилегированных пользователей с включенным RDP и троянизированный бинарник для кражи данных браузера. Эти инструменты взаимодействовали с командно-контрольным сервером до момента развертывания Play Ransomware.

В период с мая по сентябрь 2024 года злоумышленники выполняли различные действия, включая сбор учетных данных и повышение привилегий, а также деинсталлировали датчики обнаружения и реагирования на конечные точки (EDR) перед развертыванием программы-вымогателя. Также было замечено использование дополнительных инструментов, таких как TokenPlayer для злоупотребления токенами доступа к Windows и PsExec. Характер причастности Jumpy Pisces (Onyx Sleet) к Play Ransomware окончательно не ясен, поскольку они могли действовать как филиал или как брокер начального доступа (IAB), продавая доступ к сети участникам Play ransomware. Этот инцидент знаменует собой значительное развитие киберугроз, свидетельствуя о слиянии спонсируемых государством и подпольных операций с вымогательским ПО и потенциально сигнализируя о тенденции, когда северокорейские угрожающие группы все чаще участвуют в глобальных кампаниях с вымогательским ПО.

Indicators of Compromise

IPv4

  • 172.96.137.224

Domains

  • americajobmail.site

SHA256

  • 243ad5458706e5c836f8eb88a9f67e136f1fa76ed44868217dc995a8c7d07bf7
  • 2b254ae6690c9e37fa7d249e8578ee27393e47db1913816b4982867584be713a
  • 99e2ebf8cec6a0cea57e591ac1ca56dd5d505c2c3fc8f4c3da8fb8ad49f1527e
  • b1ac26dac205973cd1288a38265835eda9b9ff2edc6bd7c6cb9dee4891c9b449
  • b4f5d37732272f18206242ccd00f6cad9fbfc12fae9173bb69f53fffeba5553f
Комментарии: 0
Похожие записи
0
11 часов
IOC

APT37 - RokRat

security
APT37, также известная как ScarCruft, Reaper и Red Eyes - северокорейская хакерская группировка, спонсируемая государством и действующая с 2012 года. Изначально ее деятельность была сосредоточена на правительственном
0
11 часов
IOC

Squid Werewolf APT IOCs

security
В ходе недавней кибератаки злоумышленники использовали фишинговую электронную почту, чтобы атаковать ключевых сотрудников одной из промышленных организаций. Обнаруженная в декабре 2024 года экспертами BI.
0
2 дня
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.
0
2 дня
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает