Главная страница » IOC
0
14 дней
IOC

Кампания, распространяющая троянские программы установки на китайском языке

security

Palo Alto обнаружили более 2 000 вредоносных доменов, зарегистрированных в феврале и марте 2025 года и связанных с одной кампанией.

Описание

Эта кампания выдает себя за китайскоязычные веб-сайты, распространяя троянские программы установки для следующих программ:

  • DeepSeek AI Assistant для Windows
  • i4Tools (i4 Aisi Assistant, версия для ПК) для Windows
  • Youdao Dictionary Desktop Edition для Windows

Предоставляя легитимное программное обеспечение, эти троянские программы установки также заражают хост Windows вредоносным ПО.

Предварительный анализ показывает, что это вредоносное ПО может быть Ghost RAT (gh0st RAT).

Судя по телеметрии, эта кампания затрагивает в первую очередь пользователей из США и Китая.

Телеметрия также указывает на то, что наиболее затронутой отраслью является профессиональная и юридическая сфера.

ИНФОРМАЦИЯ О ХОСТИНГЕ И РЕГИСТРАЦИИ:

  • Из 2 000+ доменов 1 400+ выдают себя за сайт i4 для i4Tools, 600+ выдают себя за Youdao и 5 выдают себя за DeepSeek.
  • Вредоносные веб-сайты, использующие эти 2 000+ доменов, были размещены на 3 IP-адресах одного и того же хостинг-провайдера.
  • Судя по общим данным WHOIS-регистраторов, эти домены, скорее всего, были созданы с помощью автоматизации.
  • Новые домены для этой кампании регистрировались ежедневно, с всплеском в начале февраля 2025 года и в начале марта 2025 года.

ПЕРВОНАЧАЛЬНОЕ РАСПРОСТРАНЕНИЕ ВРЕДОНОСНОГО ПО:

  • Первоначальные троянские программы установки содержатся в zip-архивах, загружаемых по ссылке на вредоносной веб-странице.
  • Эти ссылки размещаются либо на сайте xiazailianjieoss[.]com, либо на том же домене, что и вредоносная веб-страница.
  • Троянский инсталлятор для DeepSeek представляет собой EXE-файл, а троянские инсталляторы для i4Tools и Youdao - MSI-файлы.
  • Троянский EXE-установщик для DeepSeek неизменен с 2025-03-12, а вот MSI-файлы меняются как минимум ежедневно.
  • Шаблоны оформления всех трех троянских инсталляторов похожи, различаются только названия программ.

АКТИВНОСТЬ ПОСЛЕ ЗАРАЖЕНИЯ:

  • Троянские программы-установщики сбрасывают EXE вредоносной программы Ghost RAT по адресу C:\Users\Public\Documents\MM\svchos1.exe.
  • При каждом обновлении троянских MSI-установщиков они сбрасывают вредоносные EXE-файлы с различными хэшами файлов.
  • Поскольку троянизированный установщик EXE для DeepSeek не менялся с 2025-03-12, его вредоносные EXE-файлы были идентичны.

ТРАФИК ПОСЛЕ ЗАРАЖЕНИЯ:

  • Пост-инфекционный трафик включает зашифрованный TCP-трафик через TCP-порт 80 и веб-трафик через HTTPS.
  • tcp[:]//xiaobaituziha[.]com:8080/
  • Два URL-адреса: hxxps[:]//fs-im-kefu.7moor-fs1[.]com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/[Unix timestamp]/[3 или 4 или 7].txt
  • Два URL-адреса на fs-im-kefu.7moor-fs1[.]com возвращают обфусцированный двоичный файл, который сохраняется в папке C:\Users\Public\Documents\MM\

Indicators of Compromise

IPv4

  • 154.82.84.227
  • 156.251.25.112
  • 156.251.25.43

IPv4 Port Combinations

  • 103.181.134.138:8080

Domains

  • deep-seek.bar
  • deep-seek.bond
  • deep-seek.cfd
  • deep-seek.qpon
  • deep-seek.rest
  • i4toolsearch.vip
  • i4toolssddsl.top
  • i4toolssddzp.top
  • i4toolssddzq.top
  • i4toolssddzr.top
  • i4toolssddzt.top
  • i4toolssddzu.top
  • i4toolssddzw.top
  • i4toolssddzy.top
  • i4toolssffna.top
  • i4toolssffnd.top
  • i4toolssffnf.top
  • i4toolssffng.top
  • i4toolssffnh.top
  • i4toolssffnj.top
  • i4toolssffnl.top
  • xiaobaituziha.com
  • youdaohhnf.top
  • youdaohhsh.top
  • youdaohhvw.top
  • youdaohhvy.top
  • youdaohhxf.top
  • youdaohhzi.top
  • youdaohhzy.top

Domain Port Combinations

  • xiaobaituziha.com:8080

URLs

  • https://fs-im-kefu.7moor-fs1.com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1741001373486/7.txt
  • https://fs-im-kefu.7moor-fs1.com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1741012778019/3.txt
  • https://fs-im-kefu.7moor-fs1.com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1741071075846/3.txt
  • https://fs-im-kefu.7moor-fs1.com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1741277757095/3.txt
  • https://fs-im-kefu.7moor-fs1.com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1741437627318/3.txt
  • https://fs-im-kefu.7moor-fs1.com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1741507677489/4.txt
  • https://fs-im-kefu.7moor-fs1.com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1741598298161/3.txt
  • https://fs-im-kefu.7moor-fs1.com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1741766977268/4.txt
  • https://fs-im-kefu.7moor-fs1.com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1741854013752/4.txt
  • https://fs-im-kefu.7moor-fs1.com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1742300995084/3.txt
  • https://i4toolssddzp.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssddzq.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssddzr.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssddzt.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssddzu.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssddzw.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssddzy.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssffna.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssffnd.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssffnf.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssffng.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssffnh.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssffnj.top/i4Tools8_v8.33_Setup_x64.zip
  • https://i4toolssffnl.top/i4Tools8_v8.33_Setup_x64.zip
  • https://xiazailianjieoss.com/baidu/deepseek_release_X64.zip
  • https://xiazailianjieoss.com/i4Tools8_v8.33_Setup_x64.zip
  • https://xiazailianjieoss.com/YoudaoDictSetup.zip

SHA256

  • 0076f6ea4346af5ae43db08205664092029e06bb353e3406ee649e98723182eb
  • 1395627eca4ca8229c3e7da0a48a36d130ce6b016bb6da750b3d992888b20ab8
  • 1a13dc5488612aff33c3ad378d6b06b76551a2c6defb30b132547a633df03076
  • 2232612b09b636698afcdb995b822adf21c34fb8979dd63f8d01f0d038acb454
  • 23a96252ba2a3cff76158fa598f4de904780f24fbbd426f36258077628e8cfc2
  • 299e6791e4eb85617c4fab7f27ac53fb70cd038671f011007831b558c318b369
  • 33414abc9d5d4767a2612f85fe3b0555f3cbef646163ef3d1d9ddb753df5efbf
  • 45c62ebe5cd2441ca25a86ddc7023bc938c8d47f12ea626d5245875bf0a13c02
  • 61bb32673e33c7aa1a0825e18629880b4d870fdeb4666d8b0ca954866d110a07
  • 77c12dcdacd58f1f0cbf032fcf52b18aa06cd30c8a763a4dd3b2216f9c78e9a4
  • 7a4d5219956854db9581c98d9cee7d6ebe61c5498988ec2655cd80f3548f7bed
  • af1a08578a5ebb02835cf10a9a45393349bcaa2caa6eb9e823e7fc08db37da66
  • c333e4ed8e0d5c3b1f26fa12f51a1dc66db4cca344a646061e2c95f305560aa9
  • c37d0c9c9da830e6173b71a3bcc5203fbb66241ccd7d704b3a1d809cadd551b2
  • d44603abdcd6a4eb3283d5d4be88b93cc359d6f0efaccfd546c10e3349ccb4ed
  • d9efd833d31365c25bc10bb2a34845add5ff89bd660da1d9405dea82d035a308
  • e5d6f7138fcccd1a579d681ef354c4660deab3c216f3db1a330a8212d99fbea1
Комментарии: 0
Похожие записи