Главная страница » IOC
0
7 месяцев
IOC

Kimsuky APT IOCs - XXVI

security

Исследователи Unit 42 обнаружили два новых вредоносных ПО, которые используются группой Sparkling Pisces (Kimsuky) - это кейлоггер KLogEXE и бэкдор FPSpy. Оба образца являются недокументированными и расширяют возможности группы. Детальный технический анализ этих двух программ позволяет организациям лучше понять и защититься от атак Sparkling Pisces.

Kimsuky APT

Sparkling Pisces, также известная как Kimsuky, THALLIUM и Velvet Chollima, является северокорейской группой APT, которая известна своими сложными кибершпионажными операциями и фишинговыми атаками. Группа начала свою деятельность, атакуя южнокорейские правительственные учреждения и исследовательские институты, а затем расширила свою деятельность на западные страны. Она также известна своей инфраструктурой, которая пересекается с несколькими штаммами вредоносного ПО и кампаниями.

Анализ образцов KLogEXE и FPSpy показал связь с прошлыми операциями Sparkling Pisces. Обнаружено, что KLogEXE является кейлоггером, аналогичным предыдущим версиям PowerShell-кейлоггеров. Он собирает данные о запущенных приложениях, клавиатурном вводе и щелчках мыши. Собранные данные сохраняются в .ini файле на зараженном компьютере.

Изучение инфраструктуры Sparkling Pisces также выявило новую связь с вредоносным ПО. Было обнаружено, что оба образца вредоносного ПО связаны с одним и тем же IP-адресом, что подтверждает их связь с группой.

Indicators of Compromise

IPv4

  • 152.32.138.167

Domains

  • bitjoker2024.000webhostapp.com
  • mail.apollo-page.r-e.kr
  • nidlogin.apollo.r-e.kr
  • www.vic.apollo-star7.kro.kr

URLs

  • http://mail.apollo-page.r-e.kr/plugin/include.php?_sys_=7
  • http://mail.apollo-page.r-e.kr/wp-content/include.php?_sys_=7
  • https://nidlogin.apollo.r-e.kr/cmd/index.php?_idx_=7

SHA256

  • 2e768cee1c89ad5fc89be9df5061110d2a4953b336309014e0593eb65c75e715
  • 990b7eec4e0d9a22ec0b5c82df535cf1666d9021f2e417b49dc5110a67228e27
  • a173a425d17b6f2362eca3c8ea4de9860b52faba414bbb22162895641dda0dc2
  • c69cd6a9a09405ae5a60acba2f9770c722afde952bd5a227a72393501b4f5343
  • faf666019333f4515f241c1d3fcfc25c67532463245e358b90f9e498fe4f6801
Комментарии: 0
Похожие записи
0
3 дня
IOC

APT-группа ToddyCat использует уязвимость в ESET для проксирования DLL-файлов

security
Группы APT используют различные методы обхода защитных систем, чтобы скрыть свою деятельность в зараженных системах. Одним из таких методов является использование руткитов на уровне ядра в системах Windows.
0
3 дня
IOC

Lazarus расширяет вредоносную кампанию npm: 11 новых пакетов добавляют загрузчики вредоносного ПО и полезную нагрузку Bitbucket

security
Группа злоумышленников Contagious Interview, предположительно связанная с Северной Кореей и известная как Lazarus Group, продолжает свою вредоносную кампанию, расширяя свое присутствие в экосистеме npm.
0
7 дней
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.
0
9 дней
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.