Главная страница » IOC
0
6 месяцев
IOC

Larva-24008 APT IOCs

security

Корейская компания по безопасности игр AhnLab Security (ASEC) обнаружила атаки на цепочки поставок, направленные на корейские игровые компании.

Larva-24008 APT

Группа злоумышленников, известная как Larva-24008, вставляла вредоносный код в модуль безопасности игры, который затем распространялся через игры, использующие этот модуль. Вредоносное ПО для удаленного управления было установлено в системах, на которые были установлены скомпрометированные игры, позволяя злоумышленникам получить контроль над системами. Хотя атака была направлена на корейские игровые компании, она не затронула всех пользователей игр, использующих взломанный модуль безопасности. Исследователи предполагают, что это APT-атака, проведенная группой злоумышленников.

Атаки произошли в апреле и мае 2024 года, когда злоумышленники внедрили вредоносное ПО в программный модуль безопасности игр и использовали действующий сертификат разработчика программы для распространения злоумышленного кода. Зловредное ПО загружается и запускается с помощью команд PowerShell, и, если скомпрометированная система соответствует указанному IP-адресу, загружается Remcos RAT.

Обнаруженные экспертами штаммы вредоносного ПО были подписаны действительными сертификатами компаний, занимающихся безопасностью игр. Оказалось, что эти сертификаты постоянно похищались и использовались в атаках уже с 2017 года. Сертификаты использовались для подписи различных штаммов вредоносного ПО, включая ZxShell, Mimikatz и PrintSpoofer. Эта информация свидетельствует о том, что несколько злоумышленников могли использовать украденные сертификаты для своих злонамеренных действий.

Во время атаки в Корее были замечены как корейские, так и международные компании, которые были подвержены эксплуатации украденных сертификатов. Основные участники атак, предположительно, находятся в Китае. Однако не существует подтвержденных связей между всеми атаками и какой-либо APT-группой.

Недавнее злоупотребление сертификатами значительно разнообразилось и включало подпись программ запуска игр и глобальных игровых клиентов. Возможно, что украденные сертификаты использовались несколькими группами злоумышленников.

Indicators of Compromise

Domains

  • awvsf7esh.dellrescue.com
  • cdn.anydeskdns.com
  • cdn.chromeupdate.me
  • cdn.kavantivirus.xyz
  • cdn.office365excel.xyz

URLs

  • http://cloud.xt.to/uploads/09/30/xs.bin
  • http://minecraft.cdn.fbi.to/launcher/cache/new/ipchecker.bin
  • http://minecraft.cdn.fbi.to/launcher/cache/new/xs.bin
  • http://minecraft.cdn.fbi.to/launcher/files/hashfiles.bin
  • https://cdn.xt.to/components/extension.jpg

MD5

  • 00eb89ba2b658f90f8749cf7b955b97b
  • 088d9d15874c1b3d31b1fd620667c38c
  • 0c0f927daf7c20a2cc8c70bf654e15d5
  • 0da494197014edc66c64bb24a7f42d59
  • 1207ca1d7402a397daa971f2e4bef505
Комментарии: 0
Похожие записи
0
1 день
IOC

Тенденции марта 2025 года в области фишинговых писем

phishing
Наиболее распространенным типом угрозы среди фишинговых писем был фишинг, при котором злоумышленники используют скрипты, такие как HTML, чтобы подделать макет экрана, логотипы и шрифты страниц входа в систему и рекламных страниц.
0
3 дня
IOC

APT-группа ToddyCat использует уязвимость в ESET для проксирования DLL-файлов

security
Группы APT используют различные методы обхода защитных систем, чтобы скрыть свою деятельность в зараженных системах. Одним из таких методов является использование руткитов на уровне ядра в системах Windows.
0
3 дня
IOC

Lazarus расширяет вредоносную кампанию npm: 11 новых пакетов добавляют загрузчики вредоносного ПО и полезную нагрузку Bitbucket

security
Группа злоумышленников Contagious Interview, предположительно связанная с Северной Кореей и известная как Lazarus Group, продолжает свою вредоносную кампанию, расширяя свое присутствие в экосистеме npm.